Ici, nous couvrirons le format de commentaire FastComments, les fonctionnalités prises en charge lors de la rédaction de commentaires, comment formater le texte, ainsi que les différents filtres et mesures de sécurité intégrés au système.
Mise en forme de base 
FastComments utilise une combinaison de Markdown et d'un sous-ensemble simple de HTML pour permettre l'écriture de commentaires.
Une bonne ressource pour la syntaxe Markdown est ici.
Pour la mise en forme la plus courante, vous pouvez utiliser la barre d'outils de formatage pour faire des choses comme mettre du texte en gras ou en italique.
Quelques exemples de syntaxe sont:
- Gras:
**gras**<b>texte en gras</b>
- Italique:
*italique*<i>texte en italique</i>
- Barré:
~~barré~~<strike>barré</strike>
- Citations:
> citation
Notez que les titres Markdown ne sont pas pris en charge.
Les liens peuvent être écrits sous forme d'URL brute, sans HTML ou autre syntaxe, et par défaut le lien sera transformé en lien cliquable avec target="nofollow noopener" pour décourager les spammeurs. Certains sites peuvent choisir de désactiver la création automatique de liens.
Les listes ordonnées peuvent être écrites comme:
1. Premier élément.
2. Deuxième élément.
3. Troisième élément.Il en va de même pour les listes à puces:
- Un point.
- Un autre point.Pour les communautés orientées programmation, le code peut être partagé en le collant dans la zone de commentaire, et le langage sera automatiquement détecté et formaté. Le code peut être ajouté dans des balises <code></code> ou des blocs de code Markdown avec des backticks.
Sécurité
Il existe plusieurs aspects de la sécurité lorsqu'on permet aux personnes d'ajouter du contenu à un site Web et ensuite d'afficher ce contenu sur différents types d'appareils.
Prévention des abus de formatage
Les gens peuvent rédiger du contenu délibérément visuellement distrayant qui diminue la valeur des discussions en abusant du formatage du texte.
FastComments fait un certain nombre de choses pour prévenir les abus liés au formatage :
- Les longues séquences de sauts de ligne consécutifs sont compressées.
- Nous n'affichons pas les titres (ils deviennent du texte normal).
- Nous n'autorisons pas le CSS ni les couleurs personnalisées.
Prévention des exploits
Des exploits peuvent être créés dans des systèmes qui rendent du HTML. FastComments fait plusieurs choses pour l'empêcher :
- Nous n'autorisons qu'un ensemble explicitement défini de balises HTML.
- Nous n'autorisons qu'un ensemble explicitement défini d'attributs de balises HTML.
- Nous purifions et assainissons toutes les entrées.
- Cela est fait via les bibliothèques DOMPurify et sanitizeHtml.
- Nous avons choisi ces bibliothèques car elles sont bien éprouvées (ayant respectivement plus de 4 millions et 1 million de téléchargements par semaine).
Cela signifie que les utilisateurs ne peuvent pas faire des choses comme écrire des balises <script> ou <style>, ni essayer d'ajouter des scripts de type onload=alert() aux images ou à d'autres contenus.
Les balises HTML que nous autorisons sont les suivantes :
<b><em><u><i><strike><pre><span><code><img><a><strong><ul><ol><li><br>
Le tag <iframe> n'est pas autorisé par défaut. Si vous activez Allow Media Embeds, les iframes sont également permises, mais uniquement lorsque leur source fait partie d'une liste intégrée de fournisseurs de confiance (tels que YouTube, Vimeo, SoundCloud et Spotify) ou d'un nom d'hôte que vous avez explicitement ajouté. Les iframes provenant de toute autre source sont supprimées.