如果我使用的是框架,当使用正确的框架时,该框架会转义输入,当正确使用时会自动清除输出(仅允许几个标签),
仅存储由所见即所得(WYSIWYG)编辑器(例如CKEditor)创建的内容,然后将其显示在网站上是否安全?还是最好使用某种Markdown语言?
使用不同的标记(例如Markdown)存储用户输入的html是蠕虫罐。非常复杂,并且不会自动解决您的问题(主要是XSS)。您可以只存储已清理过的使用过的输入(如果愿意,甚至可以存储原始的未过清理的用户输入,请参见下文)。