flanker (./4179) :
(il est trivial de prendre en parseur HTML qui a une liste blanche de choses autorisées, alors que faire un parseur Markdown complet et sûr est nettement plus compliqué

J'ai exactement l'avis inverse : il est bien plus simple de supporter les 4 ou 5 syntaxes autorisées par Markdown et d'être sûr qu'aucune autre injection n'est possible que de gérer les 100aines de fonctionnalités d'HTML et de prier pour avoir pensé à bloquer toutes celles qui peuvent présenter un risque. D'ailleurs je veux bien un exemple d'implémentation, parce que ça me semble tellement risqué qu'il doit pas y avoir grand-monde pour tenter cette approche. Les rares sites qui autorisent du HTML complet le servent généralement quand même sur un domaine à part tellement ils sont confiants sur le fait d'avoir tout couvert.