ここでは、FastComments のコメント形式、コメント作成時にサポートされる機能、 テキストの書式設定方法、およびシステムに組み込まれているさまざまなフィルタと安全対策について説明します。
基本的な書式 
FastCommentsは、MarkdownとHTMLの簡単なサブセットを組み合わせて、コメントの作成を可能にしています。
最も一般的な書式設定には、書式設定ツールバーを使用して、テキストを太字や斜体にすることができます。
いくつかの構文例:
- 太字:
**太字**<b>太字テキスト</b>
- 斜体:
*斜体*<i>斜体テキスト</i>
- 取り消し線:
~~取り消し線~~<strike>取り消し線</strike>
- 引用:
> 引用
Markdownの見出しはサポートされていないことに注意してください。
リンクはHTMLや他の構文なしで、そのままのURLとして書くことができ、デフォルトではtarget="nofollow noopener"が付いたクリック可能なリンクに変換され、スパマーを抑止します。一部のサイトでは、自動リンク作成を無効にすることを選択する場合があります。
番号付きリストは次のように書くことができます:
1. 最初の項目。
2. 2番目の項目。
3. 3番目の項目。箇条書きリストも同様です:
- ある点。
- 別の点。プログラミング指向のコミュニティでは、コメントエリアにコードを貼り付けることで共有でき、言語は自動的に検出されてフォーマットされます。コードは<code></code>タグまたはバッククォートを使用したMarkdownコードブロックで追加できます。
セキュリティ
ウェブサイトに人々がコンテンツを追加し、そのコンテンツをさまざまな種類のデバイスでレンダリングする場合、セキュリティには複数の側面があります。
フォーマットの悪用を防ぐ
ユーザーは意図的に視覚的に注意を引くコンテンツを書き込み、テキストフォーマットを悪用して議論の価値を損なうことがあります。
FastComments はフォーマットに関する悪用を防ぐためにいくつかの対策を行っています:
- 連続した大量の改行は折りたたまれます。
- 見出しはレンダリングしません(通常のテキストになります)。
- CSS やカスタムカラーは許可しません。
エクスプロイトの防止
HTML をレンダリングするシステムではエクスプロイトが作成される可能性があります。FastComments はこれを防ぐためにいくつかの対策を行っています:
- 明確に定義された HTML タグのセットのみを許可します。
- 明確に定義された HTML タグ属性のセットのみを許可します。
- すべての入力を精査(浄化)してサニタイズします。
- これは DOMPurify と sanitizeHtml ライブラリを使用して行われます。
- これらのライブラリはよくテストされているため採用しました(それぞれ週あたり約4百万以上と1百万以上のダウンロードがあります)。
これは、ユーザーが <script> や <style> タグを書いたり、画像やその他のコンテンツに onload=alert() のようなスクリプトを追加しようとすることができない、ということを意味します。
許可されている HTML タグは次の通りです:
<b><em><u><i><strike><pre><span><code><img><a><strong><ul><ol><li><br>
<iframe> タグはデフォルトでは許可されていません。Allow Media Embeds を有効にすると、iframe も許可されますが、ソースが組み込みの信頼されたプロバイダ(YouTube、Vimeo、SoundCloud、Spotify など)のいずれか、またはあなたが明示的に追加したホスト名である場合に限られます。それ以外のソースからの iframe は削除されます。