原本標記內容的 HTML 語法我並沒有禁止使用,以方便幫助我測試的朋友們貼上一些例如 YouTube 或 BuubleShare 等 widget,來豐富各地點標記的內容。但今日新增的訪客標記功能一旦開放,HTML 語法很可能成為系統安全上的一個漏洞,讓有心人士貼上 JavaScript 或嵌入隱藏式的 iframe 產生 cross-site-scripting (XSS) 的攻擊行為。
因此,目前暫時取消了在標記內容支援 HTML 語法,凡是在角括號 < >內的文字都會被自動忽略不顯示。至於 YouTube 和其他常見的 widget,例如 flickr 和 flash 等,未來可能會以其他特定語法格式來替換。譬如:[[YouTube∣nwXUuA8gSRU]] 或 [[BubbleShare∣175572.9c17866b383]]。
沒有留言:
張貼留言