VSCode Markdown预览器默认执行HTML/JS存在XSS等风险，strict模式可禁用script、iframe、事件处理器等；建议设"markdown.preview.security": "strict"并避免预览不可信文件。

VSCode 内置的 Markdown 预览器默认会执行部分 HTML 和 JavaScript（如内联 、、onxxx 事件），这在打开不受信任的 Markdown 文件时可能引发 XSS、本地文件读取、命令执行等安全风险。

哪些内容会被执行？

预览器并非完全沙箱化，以下内容在预览时可能被解析或触发：

• 内联 标签（含 javascript: 伪协议）
• 或远程 iframe（取决于 CSP 策略）
• HTML 属性中的事件处理器，如
• 部分 CSS 中的 url(javascript:...)（现代版本已限制，但仍需留意旧版）

如何禁用危险行为？

VSCode 提供了明确的配置项来关闭执行能力：

• 在设置中搜索 markdown.preview.security，将值设为 strict（推荐）
• 该模式下：所有脚本、内联事件、iframe、表单、object/embed 标签均被移除或禁用
• 也可通过 settings.json 手动添加：
  "markdown.preview.security": "strict"

日常使用建议

防范不靠运气，而靠习惯：

• 不要预览来源不明的 .md 文件（尤其是从邮件、论坛、GitHub PR 直接下载的）
• 编辑敏感文档前，检查右下角状态栏是否显示 “Preview Security: Strict”
• 需要运行脚本的场景（如本地文档站点），改用 Live Server 插件 + 独立浏览器，而非依赖预览器
• 企业或教学环境中，可通过 settings.json 的 "markdown.preview.enabled": false 彻底禁用预览，改用导出为 HTML 后手动审查

基本上就这些。严格模式不是功能退化，而是把“渲染”和“执行”划清界限——Markdown 应该讲清楚内容，而不是悄悄跑代码。

# css  # javascript  # java  # vscode  # html  # js  # markdown  # git  # json  # github 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何生成API文档？（Swagger/OpenAPI教程）  成都品牌网站制作公司,成都营业执照年报网上怎么办理？  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率  iOS正则表达式验证手机号、邮箱、身份证号等  微信小程序 wx.uploadFile无法上传解决办法  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  如何续费美橙建站之星域名及服务？  Laravel怎么做缓存_Laravel Cache系统提升应用速度的策略与技巧  如何在万网ECS上快速搭建专属网站？  如何在阿里云服务器自主搭建网站？  如何有效防御Web建站篡改攻击？  浅谈redis在项目中的应用  如何在HTML表单中获取用户输入并用JavaScript动态控制复利计算循环  百度输入法ai面板怎么关 百度输入法ai面板隐藏技巧  php读取心率传感器数据怎么弄_php获取max30100的心率值【指南】  如何使用 Go 正则表达式精准提取括号内首个纯字母标识符（忽略数字与嵌套）  原生JS获取元素集合的子元素宽度实例  高端网站建设与定制开发一站式解决方案 中企动力  Laravel如何记录日志_Laravel Logging系统配置与自定义日志通道  实例解析Array和String方法  最好的网站制作公司,网购哪个网站口碑最好，推荐几个？谢谢？  邀请函制作网站有哪些,有没有做年会邀请函的网站啊？在线制作，模板很多的那种？  如何在阿里云购买域名并搭建网站？  php增删改查怎么学_零基础入门php数据库操作必知基础【教程】  Laravel API资源(Resource)怎么用_格式化Laravel API响应的最佳实践  PythonWeb开发入门教程_Flask快速构建Web应用  Bootstrap整体框架之JavaScript插件架构  微信小程序 闭包写法详细介绍  Win11怎样安装网易有道词典_Win11安装词典教程【步骤】  Edge浏览器提示“由你的组织管理”怎么解决_去除浏览器托管提示【修复】  PHP 500报错的快速解决方法  免费视频制作网站,更新又快又好的免费电影网站？  EditPlus中的正则表达式实战(5)  Laravel Telescope怎么调试_使用Laravel Telescope进行应用监控与调试  Laravel如何实现数据导出到CSV文件_Laravel原生流式输出大数据量CSV【方案】  Laravel表单请求验证类怎么用_Laravel Form Request分离验证逻辑教程  Laravel怎么防止CSRF攻击_Laravel CSRF保护中间件原理与实践  laravel怎么配置Redis作为缓存驱动_laravel Redis缓存配置教程  个人摄影网站制作流程,摄影爱好者都去什么网站？  公司网站制作需要多少钱,找人做公司网站需要多少钱？  今日头条微视频如何找选题 今日头条微视频找选题技巧【指南】  如何用花生壳三步快速搭建专属网站？  小米17系列还有一款新机？主打6.9英寸大直屏和旗舰级影像  Android Socket接口实现即时通讯实例代码  中山网站推广排名,中山信息港登录入口？  CSS3怎么给轮播图加过渡动画_transition加transform实现【技巧】  高端建站三要素：定制模板、企业官网与响应式设计优化  Android自定义listview布局实现上拉加载下拉刷新功能  如何挑选最适合建站的高性能VPS主机？