fix: html encode

src/helper.js

@@ -26,13 +26,26 @@ export function arrayToObject(array, keyField) {
   }, {});
 }
 
+/**
+ * HTML 编码
+ * 将 < > 等字符串进行编码
+ * @param {string} str 文本
+ */
+export function htmlEncode(str) {
+  if (!str) return "";
+  // /[\u00A0-\u9999<>\&]/gim  // 中文和 HTML 字符
+  return str.replace(/[<>\&]/gim, function(i) {
+    return "&#" + i.charCodeAt(0) + ";";
+  });
+}
+
 /**
  * 渲染编辑器
  * [x] => <img src="x" />
  * @param {strig} content
  */
 export function renderContent(content, onClick) {
-  return content.replace(REGEXP, function(a, b) {
+  return htmlEncode(content).replace(REGEXP, function(a, b) {
     const src = a.slice(1, -1);
     if (isUrl(src)) {
       return `<img src="${src}" alt="${src}" style="max-width: 300px" />`;