BUG 追踪 » 讨论
[code]标签解析有问题

test3

test4

然而这样quote的实际表现方式和用户期待的展现方式有区别了。而且事实上quote内也并没有真的完全忽略BBCode。。倒不如说只有code被忽略了

你钻到牛角尖里出不来了…
回复时仅引用纯文本，然后用quote括起来。这一步有问题吗？
用code包围的BBCode由于是“code”不解析，当作纯文本被引用。这一步有问题吗？
而被用quote括起来的BBCode由于没有被code包围所以就被解析生效。这一步有问题吗？

只有code被忽略？如果我告诉你我可以构造一个code不被忽略的回复呢。

[code]hello world![/code][code]hello world again[/code]
实际上用这个方法可以影响回复你的人的引用内容。

“回复时仅引用纯文本，然后用quote括起来。这一步有问题吗？”
你这个论点就是错的。看到这个加粗的“错”字了么？他并没有被视作纯文本。所以一样是bbcode里的内容，为什么不忽略而要被忽略？
而且可以构造一个code不被忽略的回复不就正好说明你前面这个论点站不住。实际上quote的内容并没有忽略哪个特定BBCode标签的设定，code被忽略是个bug

什么？b不忽略是什么鬼？这个帖子里哪个b是没被忽略的？具体一点：这个帖子里哪个被系统自动引用而非手工构造的b是没被忽略的？你想表达什么？昵称也是帖子的一部分？“chitanda 说: ”这个加粗的是引用的内容？
上面这句话是用b加粗的，回复一下试试。

回复

OK,#5-7倒是能说明我前面认知有问题了。
BGM的回复系统确实是这么“回复时仅引用纯文本，然后用quote括起来”设定的。
那我现在能认为这个设定本身有问题了么？
既然用户可以自行构造一个完全符合BBCode使用规则并正常显示出来的回复，为什么系统自动设置的回复要过滤掉全部的BBCode?

回复引用是前端完成的，bbcode转html是后端完成的，你在前端拿不到别人写的bbcode，只能拿到html。回复引用过滤的实际上是html标签

可以测试回一下#5-3，我试着搞了个彩蛋。

这里可以用[span]吗？怎么用？

OK。如此真诚不做作
然而我还是很好奇虽然前端确实拿不到bbcode，但是后端完全可以获得被引用的回复的bbcode代码吧？按理说后端处理下返回应该也是没问题的。。
不过就当这是技术限制吧，毕竟需求也有个轻重缓急

这个应该就是利用被引用会默认纯文本的方法提前埋了个bbcode解析后视觉不可见的内容吧。。我开始还以为是构造了个多重嵌套的= =
我也来弄一个试试看。。

另一个[code]用bbcode里的[size]设置为0就可以了。。这样默认不显示，不过被引用后size=0失效，就出来了。不过我不知道哪些非现代浏览器能不能完美的体现这个size=0。貌似有些旧浏览器不会完全等于0

我只是利用了引用会忽略BBCode这点：

其实这样也有好处

假设一个这样的时间流程：我回复“乖爷爷，快叫孙子”，你看到我写的内容，你开始写回复“孙子”，我edit我的回复内容为“你是我谁？”并保存，你写完回复“孙子”并发送

为了让你真正回复的对象内容是你当时浏览器看到的内容，只能前端先取好，一并保存。
如果让后端处理，你会发现辛辛苦苦写完，传给服务器，再传回来，要回复的对象内容已经变了。。

也对。。这个角度的话是能理解了。不过我刚刚看了下，事实上前端发回去的好像不是bbcode代码而是BBCode解析后的HTML？如果这样的话能不能前端直接取完整的HTML结构保存？TEST

你这么一说我倒想出一种完全置换的玩法，如下
[size=0]苟利国家生死以[/size]岂因祸福避趋之

保存了html，就是准备把 html 原封不动的放回到网页上？这样不安全，会给XSS攻击提供机会。

checking

another checking
唉你们好厉害

xss的话能过滤啊。。主要我看现在前端返回的不也是html内容吗还是我理解错了

哦，这个意思，是我理解错了，刚才没测试有点想当然了

ce shi

how it works?

#5-14有解释。因为引用会使bbcode失效所以可以提前构造好一个看起来无效的code标签，等到被引用后里面的bbcode都被过滤了，之前无效的code就生效了。第二个句子隐藏了应该是利用了size=0
大概的一个源代码：
https://pastebin.com/8a7bBAzB