問題タブ [markdown]

私は過去2日間、WMDとMarkdownに取り組んできましたが、セキュリティを備えた株式データのソリューションが見つかりません。ユーザーが自分のサイトにHTML/XML <code>（WMDを使用）を投稿できるようにしたいと思います。

今のところ、Markdown形式でデータをストックしていますが、JavaScriptを無効にすると、ユーザーはXSSを簡単にプッシュできます。私strip_tagsまたはhtml_entitiesすべてのデータを使用すると、ユーザーHTML /XML<code>が失われます。どうすればいいですか？

私の意見ではhtml_entities、pre / preの間のコードだけが必要ですが、どうすればよいですか？！私のデータはMarkdownにあります。

その後、XSS属性を禁止するために何ができますか？

次のように、タイプが conf であるファイルの構文強調表示が壊れています。

シンタックスハイライトが効かないファイル

代替テキスト http://files.getdropbox.com/u/175564/bugs/vim-bug-type.png

構文の強調表示は、拡張子が .markdown の他のすべてのファイルで機能します。ただし、これらのファイルの唯一の違いは、他のファイルのタイプは何もないのに対し、バグのあるファイルのタイプは Conf.

シンタックスハイライトが機能するファイル

代替テキスト http://files.getdropbox.com/u/175564/bugs/vim-bug-syntax2.png

VimのConfからTypeをnothingに変更するにはどうすればよいですか?

wmdマークダウンエディター（stackoverflowが使用するエディターのようなもの）を使用したことがある場合は、私を助けることができるかもしれません：

WMDはデフォルトで、ページ上で最初に見つかったテキストエリアに自分自身を割り当てます。しかし、WMDを割り当てる必要のあるページの前に任意の量のテキストエリアが表示されているページがあります。WMDには、それ自体のインスタンスを作成および破棄するオプションがありますが、インスタンスを作成して特定のテキストエリアに割り当てることができませんでした（つまり、「id」または「class」によって）。誰かがこれを行うことができましたか？（wmdのjavascriptコードは難読化されているため、ソースを調べてこれを理解するのは非常に困難です）。

プロジェクトでwmdマークダウンエディターを使用していますが、質問がありました。

マークダウンテキスト領域を含むフォームを投稿すると、（予想どおり）サーバーにhtmlが投稿されます。ただし、サーバー側の検証時に何かが失敗し、エントリを編集するためにユーザーを送り返す必要がある場合、HTMLではなくマークダウンだけでテキストエリアを補充する方法はありますか？私が設定したので、サーバーは投稿データ（htmlの形式）にしかアクセスできないので、これを行う方法を考えることができないようです。何か案は？できれば、JavaScriptベースではないソリューション。

更新：markdownifyと呼ばれるhtmlからマークダウンへのコンバーターを見つけました。これは、マークダウンをユーザーに表示するための最良の解決策かもしれないと思います...より良い代替案は大歓迎です！

更新2： SOでこの投稿を見つけました。データを、htmlではなくマークダウンとしてサーバーに送信するオプションがあると思います。単にデータをマークダウンとしてデータベースに保存することの欠点はありますか？それを（エディターの外で）ユーザーに表示するのはどうですか？たぶん、両方のバージョン（htmlとマークダウン）をサーバーに投稿するのが最善でしょう...

解決済み：phpマークダウンを使用して、マークダウンをhtmlサーバーサイドに変換できます。

サイトで wmd マークダウン テキスト エディターを使用しようとしています。ページに 2 つのテキストエリアがあり、両方に wmd エディターが必要です。デフォルトでは、最初の texarea にのみ割り当てられますが、両方の textarea に適用するにはどうすればよいですか?

また、wmd によって保存されたマークアップ テキストの最後に、常に余分な新しい行が追加されます。どうすればそれを防ぐことができますか?

ありがとう！

Markdown（2.0.1）とPygments（1.0）を使用して、単純なDjango（1.1）テストアプリで構文の強調表示を機能させようとしています。アイデアは、マークダウン形式のユーザー入力からHTMLを生成し、両方をDBに保存することです。これにより、フェッチ中にマークダウンからhtmlへの変換を行う必要がなくなります。

これまでのところ、マークダウン処理は機能していますが、構文の強調表示が機能していないようです。私のmodels.pyは次のようになります：

これまでのところ、テストはマークダウン構文だけで機能しますが、次のようなものを試してみると、出力または出力ソースで構文が強調表示されていません。

出力ソースに少なくとも一連のコード要素が含まれていると思います。

私は、ユーザーがカタログ内のアイテムの簡単な説明を入力できるWebアプリケーションに取り組んでいます。テキストエリアでMarkdownを許可しているので、ユーザーはHTML形式を使用できます。

私のテキストサニタイズ機能は、データベースに挿入する前に、入力されたテキストからすべてのタグを取り除きます。

基本的に、データベースに保存しているのはMarkdownだけです。他のHTMLは使用できず、「基本的なHTML」（ここではSOのように）も許可されていません。

マークダウンを許可すると、セキュリティ上の脅威が発生しますか？タグがない場合でも、マークダウンをXSSすることはできますか？

djangoを利用したサイトがあります。現在、すべてのテキストフィールドは、生のHTMLを使用する単なる古いテキスト入力です。私には派手な編集者も何もいません。MarkdownとWMDを使い始めて、誰にとっても簡単にできるようにしたいと思います。

すべてのHTMLをマークダウンに変換するために、データベース内のすべてのテキストフィールドを調べるために、ある種のスクリプトを実行する必要がありますか？HTMLをマークダウンフィルターに通すと、反対側でも同じように表示されますか？WMDエディターはサーバーからHTMLを読み取り、ユーザーが編集できるようにMarkdownに変換しますか？

ここでの正しい行動方針は何ですか？

私の投稿エンティティでは、HTML と MARKDOWN の両方をデータベースに保存します (HTML は MARKDOWN から変換されます)。HTML はページ上でのレンダリング用であり、MARKDOWN は編集機能用です (WMD を使用)。db に保存する前に HTML をサニタイズします。質問: マークダウンもサニタイズする必要がありますか? それともwmd-editorに渡すだけならxss-safeですか？

Stackoverflowデータ ダンプを手に入れたところですが、投稿の Body フィールドが Markdown ではなく HTML になっていることにがっかりしています。回答を編集しようとすると表示されるので、元のデータベースに Markdown があると思われます。

大量の回答から Markdown を回復したい。コマンド ライン ツールまたはある種の Lua または C ライブラリを使用して、バッチ モードで何百ものエントリを処理するので、wmd Markdown エディタのような対話型ツールは適していません。Stackoverflow のデータ ダンプから Markdown を復元するのに役立つツールを教えてください。

(関連する質問、重複ではありません: wmd 内で HTML を Markdown に戻します。)