docs(README.zh-CN): add security paragraph

2025-08-15 06:19:24 +02:00 · 2022-03-07 01:15:32 +08:00
parent d886c2b6b7
commit ee63856483
1 changed files with 9 additions and 1 deletions
--- a/README.zh-CN.md
+++ b/README.zh-CN.md
@@ -212,7 +212,7 @@ pie
 npm publish
 ```

-以上的命令会将文件打包到 `dist` 目录并发布至 npmjs.org. 
+以上的命令会将文件打包到 `dist` 目录并发布至 npmjs.org.

 ## 相关项目

@@ -226,6 +226,14 @@ Mermaid 是一个不断发展中的社区，并且还在接收新的贡献者。

 关于如何贡献的详细信息可以在 [贡献指南](CONTRIBUTING.md) 中找到。

+## 安全
+
+对于公开网站来说，从互联网上的用户处检索文本、存储供后续在浏览器中展示的内容可能是不安全的，理由是用户的内容可能嵌入一些数据加载完成之后就会运行的恶意脚本，这些对于 Mermaid 来说毫无疑问是一个风险，尤其是 mermaid 图表还包含了许多在 html 中使用的字符，这意味着我们难以使用常规的手段来过滤不安全代码，因为这些常规手段会造成图表损坏。我们仍然在努力对获取到的代码进行安全过滤并不断完善我们的程序，但很难保证没有漏洞。
+
+作为拥有外部用户的网站的额外安全级别，我们很高兴推出一个新的安全级别，其中的图表在沙盒 iframe 中渲染，防止代码中的 javascript 被执行，这是在安全性方面迈出的一大步。
+
+*很不幸的是，鱼与熊掌不可兼得，在这个场景下它意味着在可能的恶意代码被阻止时，也会损失部分交互能力*。
+
 ## 报告漏洞

 如果想要报告漏洞，请发送邮件到 security@mermaid.live, 并附上问题的描述、复现问题的步骤、受影响的版本，以及解决问题的方案（如果有的话）。