为什么不在网站中使用 HTML 标签？文本编辑器？

Question

我可能将来某个时候需要实现这一点，但我认为现在引发这个问题的主要是好奇心。
我想到了如何为我即将建立的网站编写一个文本编辑器，并看到了这个网站（和其他网站）的方式，所以我想 - 是不是有点太复杂了？如果从一开始就应该使用标签，为什么不让用户使用 HTML 标签呢？我能想到的唯一原因是 HTML 注入，我对此不太了解，但这听起来是一个很容易解决的问题，不是吗？

谢谢。

Answer 1

仅仅是因为并非所有用户都了解 HTML。 *粗体文本* 比 粗体文本 更容易理解（并以原始形式阅读）。特别是当你进入链接时。

我们使用 Markdown、Textile 等的原因是为了提供一个可供更多用户使用的良好替代方案。

当然，您仍然可以向用户提供使用 HTML 的能力（它在 Markdown 规范中），但您必须进行大量检查以确保没有恶意行为 - 例如，阻止 < script>、

Answer 2

不应该在这样的编辑器中使用 HTML 标签有几个原因：

1) 如果您引入自己的精简标签集，对用户来说可能会不太复杂

2) HTML 注入：存在注入危险 HTML 代码的巨大风险。

如果你真的想允许 HTML 代码，你必须非常小心。

Answer 3

从历史上看，像 BBCode 这样的系统旨在将可用的格式化元素限制为不会破坏布局的内容但现在，有了更成熟、更智能的 HTML 解析器，没有必要仅仅为了禁止某些不安全的 HTML 标签而发明一种新的标记语言。

目前我看到的主要原因是 HTML 对于大多数用户来说是陌生的，而 HTML 替代品旨在提供日常用户所需的格式化指令的简化版本。

Answer 4

HTML 脚本注入并不是一个容易解决的问题。 HTML 是一种相当复杂的非常规语言 - 检测所有可能的漏洞是一个非常困难的问题。很多网站都尝试过，但都失败了。从漏洞预防的角度来看，完全禁止 HTML 或仅允许一小部分标签会更容易。