我想在GitHub自述文件中嵌入推文。 Markdown应该支持这一点,但是当我添加从推文中复制的代码时,JavaScript无法呈现。
示例:
<blockquote>...</blockquote>
<script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script>
有什么想法吗?
答案 0 :(得分:23)
直接在网站上允许来自第三方的javascript会产生巨大的XSS攻击。例如,有人可以使用javascript代码来获取与任何访问者的github帐户相关联的cookie,并将其转发给恶意实体。
还有令人讨厌的潜力,因为访问javascript意味着可以访问访问者的CPU并能够执行弹出窗口或闪烁文本等操作。
因此,README中不支持javascript。 Markdown 可能有办法实现,但它永远不会被允许在像GitHub这样的网站上。
但是,你可以在项目的github page上进行,如果你有的话,因为它不属于主github网站而且域名不一样。
答案 1 :(得分:8)
作为coyotte508答案的后续(抱歉,没有足够的积分直接回复):
如果Github要启用这样的功能,他们可以使用iFrame作为对抗XSS的有效措施,就像ReadTheDocs一样。
编辑:您也可以查看readthedocs.org作为Github README.md的替代方案。它们支持在第一个文件中嵌入javascript。