FLIN échappe tout le HTML par défaut. Quand vous écrivez {user_input} dans un template, FLIN convertit <, >, &, " et ' en leurs équivalents d'entités HTML. Cela empêche les attaques Cross-Site Scripting (XSS).
Mais parfois vous devez injecter du vrai HTML. Un moteur de rendu markdown produit du HTML qui doit être rendu en tant que HTML. Une icône SVG est une chaîne HTML qui doit être injectée dans le DOM.
La Session 258 a ajouté la balise <raw> -- la trappe de sortie contrôlée de FLIN pour injecter du HTML de confiance dans le DOM.
flin// Par défaut : le HTML est échappé (sûr)
content = "<b>Bold</b> and <i>italic</i>"
<div>{content}</div>
// Affiche : <b>Bold</b> and <i>italic</i> (balises visibles)
// Avec <raw> : le HTML est rendu (de confiance)
<div><raw>{content}</raw></div>
// Affiche : **Bold** and *italic* (texte formaté)La règle est simple : ne jamais utiliser <raw> avec des entrées utilisateur. Toujours assainir d'abord avec sanitize_html().
Ceci est la partie 94 de la série "How We Built FLIN".
Navigation de la série : - [93] Theme Toggle and Dark Mode - [94] The Raw Tag: Escape Hatch for HTML (vous êtes ici) - [95] 151 FlinUI Components Built by AI Agents