chanjs 2.6.14 → 2.6.15

package/extend/art-template.js

@@ -4,7 +4,7 @@ import { createRequire } from 'module';
 const require = createRequire(import.meta.url);
 const { marked } = require('marked');
 
-//template.defaults.native = false; // 禁用原生模板引擎 防止模板直接调用nodejs语法
+template.defaults.native = false; // 禁用原生模板引擎 防止模板直接调用nodejs语法
 //template.defaults.debug = false; // 禁用调试模式
 
 
@@ -71,15 +71,29 @@ template.defaults.imports.safeStringify = (obj, keys) => {
  * @param {string} content - 文章内容
  * @returns {string} 渲染后的 HTML
  */
-template.defaults.imports.renderMarkdown = (content) => {
+template.defaults.imports.renderContent = (content, editorType = 'rich', allowScript = 0) => {
   if (!content || typeof content !== 'string') {
     return content || '';
   }
 
-  try {
-    return marked.parse(content);
-  } catch (err) {
-    console.error('[renderMarkdown] Markdown 渲染失败:', err.message);
-    return content;
+  let html = content;
+  
+  // Markdown 需要转换
+  if (editorType === 'md') {
+    try {
+      html = marked.parse(content);
+    } catch (err) {
+      console.error('[renderContent] Markdown 渲染失败:', err.message);
+      html = content;
+    }
+  }
+  
+  // 如果 allowScript !== 1，转义 script 标签
+  if (Number(allowScript) !== 1) {
+    html = html
+      .replace(/<script\b[^>]*>/gi, '&amp;lt;script&amp;gt;')
+      .replace(/<\/script>/gi, '&amp;lt;/script&amp;gt;');
   }
+  
+  return html;
 };

package/helper/html.js

@@ -1,30 +1,40 @@
 /**
- * 解码 HTML 实体字符
- * @param {string} str - 包含 HTML 实体的字符串
- * @returns {string} 解码后的字符串，如果输入为空则返回空字符串
- * @description
- * 将 HTML 实体字符转换为对应的普通字符
- * 支持的实体字符：
- * - & -> &
- * - &lt; -> <
- * - &gt; -> >
- * - &quot; -> "
- * - &apos; -> '
- * - &nbsp; -> 空格
- * @example
- * const html = '&lt;div&gt;Hello &amp; World&lt;/div&gt;';
- * const decoded = htmlDecode(html);
- * console.log(decoded); // '<div>Hello & World</div>'
+ * 标准 HTML 编码（art-template {{}} 使用）
+ */
+export function htmlEncode(str) {
+  if (typeof str !== 'string') return '';
+  return str
+    .replace(/&/g, '&amp;')
+    .replace(/</g, '&lt;')
+    .replace(/>/g, '&gt;')
+    .replace(/"/g, '&quot;')
+    .replace(/'/g, '&apos;');
+}
+
+/**
+ * 【适配 art-template {{@}}】二次转义 script 标签
+ * 必须这样写才能防 XSS！
+ */
+export const escapeScript = (str) => {
+  if (typeof str !== 'string') return '';
+  return str
+    // 二次转义 → 经过 {{@}} 解码后变成 &lt;script&gt;
+    .replace(/<script\b[^>]*>/gi, '&amp;lt;script&amp;gt;')
+    .replace(/<\/script>/gi, '&amp;lt;/script&amp;gt;');
+};
+
+/**
+ * HTML 解码
  */
 export function htmlDecode(str) {
-  if (!str) return "";
-  const htmlEntities = {
-    "&amp;": "&",
-    "&lt;": "<",
-    "&gt;": ">",
-    "&quot;": '"',
-    "&apos;": "'",
-    "&nbsp;": " ",
+  if (typeof str !== 'string') return '';
+  const entities = {
+    '&amp;': '&',
+    '&lt;': '<',
+    '&gt;': '>',
+    '&quot;': '"',
+    '&apos;': "'",
+    '&nbsp;': ' ',
   };
-  return str.replace(/&[a-z]+;/gi, (match) => htmlEntities[match] || match);
-}
+  return str.replace(/&(amp|lt|gt|quot|apos|nbsp);/g, m => entities[m]);
+}

package/helper/index.js

@@ -19,7 +19,7 @@ export {
 } from "./file.js";
 
 // HTML处理
-export { htmlDecode } from "./html.js";
+export { htmlDecode, htmlEncode,escapeScript } from "./html.js";
 
 // IP相关
 export { getIp } from "./ip.js";

package/package.json

@@ -1,7 +1,7 @@
 {
   "type": "module",
   "name": "chanjs",
-  "version": "2.6.14",
+  "version": "2.6.15",
   "description": "chanjs基于express5 纯js研发的轻量级mvc框架。",
   "main": "index.js",
   "module": "index.js",
@@ -24,14 +24,14 @@
     "cookie-parser": "^1.4.7",
     "cors": "^2.8.6",
     "dotenv": "^17.4.2",
-    "dayjs": "^1.11.20",
+    "dayjs": "^1.11.21",
     "express": "^5.2.1",
     "express-art-template": "^1.0.1",
     "ip2region": "^2.3.0",
     "knex": "^3.2.10",
     "morgan": "^1.10.1",
-    "mysql2": "^3.22.3",
+    "mysql2": "^3.22.4",
     "sqlite3": "^6.0.1",
-    "marked": "^18.0.3"
+    "marked": "^18.0.4"
   }
 }