Javascript 正确、安全地使用Markdown

使用降价的最佳方法是什么

• 我将标记保存到数据库，并在加载时用javascript解析它
• 我将标记解析为html，然后保存到数据库并将其加载到dom unescaped

第一个选项，我不必使用未扫描的数据，但这意味着我必须使用javascript解析许多标记语法，就像在注释线程上一样

第二个选项可能会给我带来性能，因为我现在可以直接将数据加载到DOM中，但这也意味着我必须加载它

---

那么你会推荐哪种方法，或者还有其他更好的方法吗？

在我看来，第二种方法是不安全的。您不能信任用户提交通过markdown呈现的正确“html”，也不应该以原始html（无转义）呈现用户提交数据，这样会很容易进行脚本注入。我将选择选项1

我将选择第二个选项，但请确保解析中去掉了标记中的脚本标记之类的内容。考虑在标记中使用HTML仍然是有效的降价。您必须在存储之前或检索之后删除危险内容，但使用第二个选项，您只能删除一次，而不是每次。