F-Droid 旨在为应用开发者提供一种向用户展示其应用的好方法。每个应用都可以包含描述、相关元数据和翻译。我们刚刚更新了应用说明中允许的 HTML 格式标签列表，以更清楚地说明哪些有效，哪些无效。这应该可以帮助开发者更轻松地将描述文本与其他也允许使用某些 HTML 的应用商店同步。网站生成过程有两个关键更改：

• 不允许的 HTML 标签现在在它们被转义之前（例如 <script>）就被自动删除（“剥离”）。
• 现在我们将严格执行允许的标签列表。

Loofah 中的一些安全问题促使我们做出了此项更改，我们依赖该工具从应用描述中删除危险的 HTML。f-droid.org 使用多层防御，极大地限制了安全漏洞的范围。例如，此站点包含对属于本网站的 URL 禁用最危险功能并限制其余功能的内容安全策略。

对于那些对技术细节感兴趣的人：HTML 允许通过 data: 方案内联包含数据块。然后可以滥用它来加载恶意内容。Loofah 没有正确处理这些。该站点的内容安全策略已经禁止对 data: 的所有使用，因此这不是问题。self 关键字表示“仅允许来自当前来源的资源”，也就是 https://f-droid.org。