因为要“简单”——可控、可调试、低依赖,而非功能完整;核心仅块解析与行内解析,需状态机处理嵌套、转义及html安全输出。
为什么不用现成的 blackfriday 或 goldmark
因为你要的是“简单”——不是功能完整,而是可控、可调试、能嵌入到小工具里不带一堆依赖。现成库动辄几百个文件,goldmark 的扩展机制绕三圈才配好一个自定义节点,blackfriday 已归档且不支持 Go modules 早期版本的路径解析问题容易卡住。真要动手写,核心就两件事:分块(block parsing)和行内(inline parsing),先搞定段落、标题、列表这三类最常写的结构就行。
strings.Split 不能直接切 Markdown 块,得按空行+缩进状态走
Markdown 块级元素(比如段落、列表项、代码块)靠空行分隔,但空行可能被缩进干扰,比如 YAML front matter 后紧接一个缩进的列表,strings.Split 一刀切会把整个 front matter 和后续内容混成一块。正确做法是逐行扫描,维护一个 inList 状态和当前缩进深度:
- 遇到以
-、*或数字加.开头的行,且缩进 ≤ 当前列表层级,就开启新列表项 - 连续空行只算一个分隔符;单个空行在代码块里不算分隔(得看是否在
```内) - 用
strings.TrimSpace判断空行,别用== "",因为可能含 \t 或 \r
行内解析必须用状态机,正则替换会吃掉嵌套强调
比如 *a *b* c* 这种嵌套斜体,用 regexp.ReplaceAllString 两次(先处理 ** 再处理 *)会错乱。实际得边扫边记栈:inEm、inStrong、inCode 三个布尔值,遇到 * 就翻转对应状态,同时记录起始位置。关键细节:
-
`是行内代码的边界,但两个反引号``表示空格允许的代码片段,得单独判断长度 - 链接
[text](url)的右括号必须匹配最内层左括号,不能靠正则捕获组硬写,得数括号嵌套层数 - 转义字符
\*要在状态机里跳过,否则会被当成强调符起点
输出 HTML 时别拼字符串,用 html.EscapeString 处理所有原始文本
用户输入的 Markdown 可能含 <script></script> 或 <img onerror="alert(1)" alt="如何在Golang中开发一个简单的Markdown解析器 Go语言文本处理实战" >,如果直接把解析后的文本塞进 "<p>" + text + "</p>
<p><span>立即学习</span>“<a href="https://pan.quark.cn/s/00968c3c2c15" style="text-decoration: underline !important; color: blue; font-weight: bolder;" rel="nofollow" target="_blank">go语言免费学习笔记(深入)</a>”;</p>",XSS 就来了。必须对所有非标签部分调用 html.EscapeString:
- 只有你自己生成的 HTML 标签(如
"<strong>"</strong>、")可以直写 - 用户写的链接 URL 要额外过一遍
url.PathEscape或net/url的QueryEscape,防止javascript:alert(1)注入 - 代码块内容用
html.EscapeString后再换行转<br>,别漏掉末尾换行符
真正难的不是语法识别,是状态同步——块级缩进状态、行内嵌套栈、HTML 转义边界,这三个地方一松动,输出就不可信。写完跑一遍 go test -v 加 20 个混合测试用例,重点看 *a **b* c**、- `x y`、含 & 和 的段落,比补文档重要得多。
