Я использую шаблон PUG с Nodejs и MongoDB.
Мой код:
Когда я использую:
// Load Article content
.p #{articleBody}
, затем элементы HTML, такие как, <b>, <br/> etcs ...
не анализируются. Но когда я использую:
// Load Article content
.p !{articleBody}
все элементы HTML анализируются, а выходной текст форматируется в зависимости от используемых тегов HTML.
Теперь вопрос:
Как мне использовать MARKDOWN или WYSIWYG с PUG, чтобы мне не приходилось вводить эти элементы HTML.
Как отключить script, XSS или любые теги уязвимостей? Если кто-то вводит его, то вместо анализа я хочу просто вывести весь текст / код.
следующий код:
.p !{articleBody}
разрешает все и даже запускает <script> alert("alert message") </script> при загрузке страницы. Но я хочу, чтобы разбирались только простые элементы HTML, такие как <b>, <i>, <u>, <img />, <br /> и т. Д. *