Validation 为什么不在网站中使用HTML标记'；文本编辑器？_Validation_Web_Text Editor

Validation 为什么不在网站中使用HTML标记'；文本编辑器？

validation web

Validation 为什么不在网站中使用HTML标记'；文本编辑器？,validation,web,text-editor,Validation,Web,Text Editor,我可能需要在将来的某个时候实施这一点，但我认为现在引发这个问题的主要原因是好奇心。我想到了如何为我即将建立的网站编写一个文本编辑器，看到了这个网站（和其他网站）的方式，所以我想——这不是有点太复杂了吗？如果标签应该从一开始就使用，为什么不让用户使用HTML标签呢？我能想到的唯一原因是HTML注入，我对它不太了解，但这听起来是一个很容易解决的问题，不是吗谢谢。历史上，像这样的系统被设计为将可用的格式元素限制在不会破坏网站布局的东西上，但现在，随着更成熟、更智能的HTML解析器的出现，不必发明一

我可能需要在将来的某个时候实施这一点，但我认为现在引发这个问题的主要原因是好奇心。
我想到了如何为我即将建立的网站编写一个文本编辑器，看到了这个网站（和其他网站）的方式，所以我想——这不是有点太复杂了吗？如果标签应该从一开始就使用，为什么不让用户使用HTML标签呢？我能想到的唯一原因是HTML注入，我对它不太了解，但这听起来是一个很容易解决的问题，不是吗

谢谢。

历史上，像这样的系统被设计为将可用的格式元素限制在不会破坏网站布局的东西上，但现在，随着更成熟、更智能的HTML解析器的出现，不必发明一种新的标记语言来阻止某些不安全的HTML标记

目前我看到的主要原因是HTML对大多数用户来说都是陌生的，HTML替代品的目的是提供一个简化版本的格式化指令，供日常用户使用。

原因很简单，因为不是所有用户都知道HTML

*粗体文本*

比

粗体文本

更容易理解（并以其原始形式阅读）。尤其是当你进入链接时

我们使用降价、纺织和其他产品的原因是为了提供一个更好的选择，让更多的用户可以使用

当然，您仍然可以向用户提供使用HTML的功能（它在Markdown规范中），但您必须进行大量检查以确保没有恶意行为发生-例如，阻止

，

，大图像，javascript的形式为

等。

在这样的编辑器中不应该使用HTML标记有几个原因：

1）如果您引入自己的简化标记集，那么用户可能不会那么复杂

2） HTML注入：危险的HTML代码被注入的风险很大

如果你真的想使用HTML代码，你必须非常小心。

HTML脚本注入是一个非常容易解决的问题。HTML是一个相当复杂的问题，检测所有可能的漏洞是一个非常困难的问题。许多网站都尝试过，但都失败了。从漏洞预防的角度来看，完全禁止HTML或只允许标记的一小部分更容易。

++感谢HTML注入的具体示例。