据我所见,上传的 HTML 文件只是作为普通文件(例如压缩包或 PDF)被下载,因此是否打开它们取决于用户和浏览器设置(例如下载后自动打开等)。
但此话题提到了与 XSS 相关的内容:
据我理解,从下载的文件中无法与 Discourse 页面进行交互?
因此,最坏的情况不过是显示某种钓鱼内容。
在我看来,这不是个好主意。
Could you please elaborate why? 
这和你不希望社区中出现网络钓鱼链接的原因完全一样,对吧?
Discourse 并不是即时通讯工具或文件存储服务,你为什么要用它来专门提供 HTML 文件的下载呢?代码理应托管在 GitHub 这样的地方才更合适,不是吗?
有时候,直接上传包含简单问题等内容的 HTML 文件更为方便;如果只有一个文件,将其放入 ZIP 归档只会带来不必要的麻烦。
该论坛主要面向开发者,因此可以合理假设他们在打开下载的文件时清楚自己在做什么,能够识别网络钓鱼尝试,不会在其中输入任何密码,并能迅速报告此类问题等。
因此,唯一需要关注的是:上传 HTML 文件(与包含 HTML 文件的 ZIP 归档相比)是否存在被利用漏洞(如 XSS 等)的风险。
就个人偏好而言,我希望能完全避免下载任何文件。我更倾向于直接在帖子中查看代码。因此,我的问题是……
是否有任何理由不能将 HTML 直接作为代码块添加到帖子中?
<section>
<h1>引言</h1>
<p>早在有文字记载的历史之前,人们就开始捕鱼作为食物……</p>
</section>
<section>
<h1>装备</h1>
<p>您首先需要一根您觉得舒适且足以应对您预期捕获的鱼类的钓竿或鱼杆……</p>
</section>
...
这样一来,内容即可立即显示,无需下载任何文件,且不会占用太多帖子空间——因为我们对超过一定高度的代码块强制启用滚动条。此外,由于 HTML 不会被解析,因此完全不存在安全风险。
如果此方案可行,我可以进一步展开说明。
是的,我同意通常这样做更好,但有时人们仍然更喜欢附加文件,例如当文件太大时,或者当他们想展示某种视觉问题时(比复制粘贴到新文件等更方便)。