Jiefang Lin

> @Ljfanny 感谢你的贡献，但我认为此修改在现阶段并不适合添加。因为据原 issue 所说，目前属于单管理员的模式，理论上不会造成安全问题，除非管理员有意为之，但这和直接修改代码没有区别。而且在目前有部分需求是需要在文章中插入 iframe 或者 script 标签的。 > > > 对originalContent字段进行ESCAPE_HTML4编码后再后端调用renderHtml后把结果赋给content，这个需要前端传来的keepRaw字段为false。 > > 目前 1.5.x 已经不再使用后端渲染 Markdown，而是直接保存前端编辑器渲染的 HTML，这是为了编辑预览和实际保存的效果一致，所以可能并不适合修改。 明白您的意思，虽然目前单用户的情况下的xss注入确实不是什么大问题，但是考虑到如果博客的维护者将一些恶意脚本加进博客（或者管理者不知情的情况下引入），也有可能对正常的访客造成影响。 确实考虑到一些用户有在正文里插入一些标签的需求，可以考虑对markdown语法的输入框不做处理，只对其他的输入框做处理，比如文章标题等。 另外对没有先讨论issue的事情也感到很抱歉，因为课程原因需要为开源社区贡献pr，第一次操作还不是很熟练，初衷也是想提供一个思路，完善一下安全问题。

Your file path cannot contain "-".