Aquí cubriremos el formato de comentarios de FastComments, las funciones compatibles al escribir comentarios, cómo formatear el texto y los distintos filtros y medidas de seguridad incorporados en el sistema.
Formato básico 
FastComments utiliza una combinación de Markdown y un subconjunto simple de HTML para permitir escribir comentarios.
Un buen recurso para la sintaxis de Markdown está aquí.
Para el formato más común, puede usar la barra de herramientas de formato para hacer cosas como poner texto en negrita o cursiva.
Algunos ejemplos de sintaxis son:
- Negrita:
**negrita**<b>texto en negrita</b>
- Cursiva:
*cursiva*<i>texto en cursiva</i>
- Tachado:
~~tachado~~<strike>tachado</strike>
- Citas:
> cita
Tenga en cuenta que los encabezados de Markdown no son compatibles.
Los enlaces se pueden escribir como su URL sin formato, sin HTML u otra sintaxis, y por defecto el enlace se convertirá en un enlace clicable con target="nofollow noopener" para disuadir a los spammers. Algunos sitios pueden optar por desactivar la creación automática de enlaces.
Las listas ordenadas se pueden escribir como:
1. Primer elemento.
2. Segundo elemento.
3. Tercer elemento.Lo mismo aplica para las listas con viñetas:
- Un punto.
- Otro punto.Para comunidades orientadas a la programación, el código se puede compartir pegándolo en el área de comentarios, y el lenguaje se detectará y formateará automáticamente. El código se puede agregar en etiquetas <code></code> o bloques de código Markdown con comillas invertidas.
Seguridad
Existen múltiples aspectos de seguridad al permitir que las personas añadan contenido a un sitio web y luego renderizar ese contenido en muchos tipos diferentes de dispositivos.
Prevención del abuso del formato
Las personas pueden escribir contenido que sea intencionalmente visualmente distractor y que reste valor a las discusiones abusando del formato de texto.
FastComments hace varias cosas para prevenir el abuso con respecto al formato:
- Se colapsan grandes saltos de línea consecutivos repetidos.
- No renderizamos encabezados (se convierten en texto normal).
- No permitimos CSS ni colores personalizados.
Prevención de exploits
Se pueden crear exploits en sistemas que renderizan HTML. FastComments hace varias cosas para prevenir esto:
- Solo permitimos un conjunto de etiquetas HTML explícitamente definido.
- Solo permitimos un conjunto de atributos de etiquetas HTML explícitamente definido.
- Purificamos y saneamos todas las entradas.
- Esto se hace mediante las bibliotecas DOMPurify y sanitizeHtml.
- Elegimos estas bibliotecas por estar bien probadas (con más de 4 millones y 1 millón de descargas por semana, respectivamente).
Esto significa que los usuarios no pueden hacer cosas como escribir <script> o <style> etiquetas, o intentar añadir scripts del tipo onload=alert() a imágenes u otro contenido.
Las etiquetas HTML que permitimos son las siguientes:
<b><em><u><i><strike><pre><span><code><img><a><strong><ul><ol><li><br>
La etiqueta <iframe> no está permitida por defecto. Si activas Allow Media Embeds, los iframes también están permitidos, pero solo cuando su fuente sea una de una lista incorporada de proveedores de confianza (como YouTube, Vimeo, SoundCloud y Spotify) o un nombre de host que hayas añadido explícitamente. Los iframes procedentes de cualquier otra fuente se eliminan.