ここでは、FastComments のコメント形式、コメント作成時にサポートされる機能、 テキストの書式設定方法、およびシステムに組み込まれているさまざまなフィルタと安全対策について説明します。
基本的な書式 
FastCommentsは、MarkdownとHTMLの簡単なサブセットを組み合わせて、コメントの作成を可能にしています。
最も一般的な書式設定には、書式設定ツールバーを使用して、テキストを太字や斜体にすることができます。
いくつかの構文例:
- 太字:
**太字**<b>太字テキスト</b>
- 斜体:
*斜体*<i>斜体テキスト</i>
- 取り消し線:
~~取り消し線~~<strike>取り消し線</strike>
- 引用:
> 引用
Markdownの見出しはサポートされていないことに注意してください。
リンクはHTMLや他の構文なしで、そのままのURLとして書くことができ、デフォルトではtarget="nofollow noopener"が付いたクリック可能なリンクに変換され、スパマーを抑止します。一部のサイトでは、自動リンク作成を無効にすることを選択する場合があります。
番号付きリストは次のように書くことができます:
1. 最初の項目。
2. 2番目の項目。
3. 3番目の項目。箇条書きリストも同様です:
- ある点。
- 別の点。プログラミング指向のコミュニティでは、コメントエリアにコードを貼り付けることで共有でき、言語は自動的に検出されてフォーマットされます。コードは<code></code>タグまたはバッククォートを使用したMarkdownコードブロックで追加できます。
セキュリティ
ウェブサイトにコンテンツを追加し、そのコンテンツを多くの異なる種類のデバイスでレンダリングする場合、セキュリティには複数の側面があります。
フォーマットの悪用防止
人々は、テキストフォーマットを悪用することで、意図的に視覚的に気を散らせ、議論の価値を損なうコンテンツを書くことができます。
FastCommentsは、フォーマットに関する悪用を防ぐためにいくつかのことを行っています:
- 大きな連続した改行は折りたたまれます。
- 見出しはレンダリングしません(通常のテキストになります)。
- CSSやカスタムカラーは許可しません。
エクスプロイトの防止
HTMLをレンダリングするシステムでは、エクスプロイトが作成される可能性があります。FastCommentsはこれを防ぐためにいくつかのことを行っています:
- 明示的に定義されたHTMLタグのセットのみを許可します。
- 明示的に定義されたHTMLタグ属性のセットのみを許可します。
- すべての入力を浄化およびサニタイズします。
- これはDOMPurifyとsanitizeHtmlライブラリを通じて行われます。
- これらのライブラリは十分にテストされている(それぞれ週に400万回以上と100万回以上のダウンロード)ため選択しました。
これは、ユーザーが<script>や<style>タグを書いたり、画像やその他のコンテンツにonload=alert()タイプのスクリプトを追加しようとしたりできないことを意味します。
許可されているHTMLタグは以下の通りです:
<b><em><u><i><strike><pre><span><code><img><a><strong><ul><ol><li><br>