J’utilise régulièrement la syntaxe Markdown pour l’écriture de contenu en mode texte. Le plugin Markdown for WordPress and BBPress permet d’utiliser cette syntaxe pour l’écriture de contenu avec le CMS WordPress. J’ai eu pas mal de retour me demandant si ce genre de syntaxe était sécurisé par rapport aux attaques XSS.
Michel Fortin précise la règle de base qu’il faut respecter pour être tranquille : filtrez le contenu pour des attaques XSS après que Markdown ait fait sa conversion, pas avant.. Il donne également d’autres exemples d’attaque XSS via que l’on peut avoir avec syntaxe.
Markdown et XSS par Michel Fortin