Queremos implementar un "modo seguro" en un analizador de Markdown llamado Parsedown . Tenemos una opción MarkupEscaped
que deshabilita la entrada de HTML, pero esto no es suficiente. Para estar seguro, el analizador necesita sanear los valores de los atributos generados por el usuario.
Estos son los:
-
Atributos de
href
ytitle
de las etiquetasa
. -
Atributos de
src
ytitle
de las etiquetasimg
.
¿Cómo debemos procesar estos valores para hacerlos seguros para los atributos a los que pertenecen?