Когда вы разрабатываете веб-приложение и хотите разрешить пользователю форматированный текст, вам нужно сделать выбор, как разрешить этот ввод. Было создано много разных языков разметки, потому что, возможно, сложнее дезинфицировать HTML.
В чем преимущества и недостатки различных разных языков разметки, таких как:
Или, говоря иначе, какие факторы вы учитываете при выборе конкретного языка разметки.
Сделка с HTML - это содержимое уже в "презентабельной" форме для веб-контента. Это замечательно, экономит время обработки, и это легко анализируемый язык. Есть десятки библиотек на любом языке для обработки содержимого HTML, конвертирования в/из HTML в другие форматы и т.д. Основной недостаток заключается в том, что из-за слабых стандартов ранних веб-дней HTML может быть невероятно переменным, и вы можете t всегда зависит от нормального ввода при принятии HTML-кода от пользователей. Как уже отмечалось, уборка или santizing HTML часто бывает очень сложной, особенно потому, что она не выполняет обычные правила разметки, как это делает XML (т.е. Неправильно закрытые теги).
Эта категория часто используется по следующим причинам:
Нижняя строка - это то, для чего используется пользовательский ввод. Если вы планируете хранить данные и, возможно, придется перетасовывать форматы и т.д., Тогда имеет смысл использовать тщательный абстрактный формат для хранения информации. Если вам нужно работать с необработанными данными вручную по любой причине, то бонусные баллы, если этот формат легко читается человеком. Если вы показываете только контент на веб-странице (или документ HTML для отчета и т.д.), И у вас нет проблем с его преобразованием или будущей проверкой, тогда разумная практика заключается в том, чтобы хранить его в HTML.
Jeff обсудил некоторые плюсы и минусы на codinghorror.com, когда они находились на начальных этапах создания SO. Я думал, что это стоит прочитать.
@netrox база данных не является проблемой, выход браузера.
Единственная проблема - окончательный рендеринг, который может быть нарушен HTML-кодом, вставленным пользователем. Например, пользователь может открыть тег <li>, но никогда не закрывать его, что в зависимости от структуры страницы может потенциально повредить весь макет, который следует за ним. Или в другом примере откройте тег <strong>, не закрывая его, делая все оставшееся содержимое жирным.
Значит, не только допустимые теги должны быть проверены, но и как именно вы разрешаете некоторые теги, а не другие? Поскольку очень легко предотвратить синтаксический анализ всех HTML-тегов с помощью htmlspecialchars() Метод PHP, например, но когда дело доходит до разрешения некоторых из теги вам придется искать другие способы. Существует функция strip_tags() PHP, которая удаляет (полностью удаляет) недопустимые теги, но тогда это означает неправильное изменение содержимого пользователя, не позволяя пользователю публиковать простой код, например (код для совместного использования/показа, а не код для обработки).
Помимо разрыва макета, вы должны учитывать атаки XSS, такие как вставка javascript в атрибут href ссылки, которая, например, может перенаправлять пользователей на другой сайт. См. Этот длинный список возможных атак XSS: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
Как вы можете видеть, что предотвращение интерпретации HTML-тегов очень просто, но предотвращение только некоторых из тегов намного сложнее. Чтобы понять это, вы можете взглянуть на огромную структуру HTML Purifier, которая предназначена только для того, чтобы разрешить некоторые HTML-теги и убедиться, что выводимый HTML действителен (т.е. не будет разбивать страницу) и без атак XSS.
"Было создано много разных языков разметки, потому что, возможно, сложнее дезинфицировать HTML".
Действительно? Как это сложно? Существуют функции для удаления потенциально опасных атрибутов или тегов и проверки HTML, прежде чем вводить их в базу данных или файл. Можете ли вы привести примеры того, как сложно дезинфицировать HTML?