PHPのより良いマークダウンパーサー
- ソフト名 : Parsedown
- OS :
- 言語 : PHP
- 開発者 : HOME
Parsedown 詳細説明
Parsedownは、それが生成するHTML内でユーザー入力をエスケープすることができます。さらに、Parsedownは、マークダウン構文によって導入された追加のスクリプトベクトル(スクリプトリンク先など)に抑制されます。信頼されていないユーザー入力内のHTMLを許可したいが、それでもXSSから出力を希望する場合は、HTML清算子のようにHTMLタグをホワイトリストにすることができるHTML SexItiserを使用することをお勧めします。どちらの場合も、コンテンツセキュリティポリシー(ブラウザセキュリティ機能)をデプロイするなど、深さ防御施設(ブラウザセキュリティ機能)の採用など、最初のものの1つでも脆弱性を見つける可能性が高いと強く検討する必要があります。防衛線。セーフモードは、Parsedownに拡張機能を使用するときに必ずしも安全な結果を生み出すわけではありません。XSSに対するそれらの特定の安全性を判断するために、拡張機能を自分で評価する必要があります。