如果您想报告错误，请提供以下信息 If you want to report a bug, please provide the following information:

• 可复现问题的步骤 The steps to reproduce.
  Link字段没有经过严格过滤，虽然直接提交javascript:会被在前面强制加上http://，但是后面的部分没有做过滤，使用引号闭合当前的href和a标签后，可以向页面嵌入任意代码，甚至重写整个页面，带来严重安全危害。
  攻击Payload：
  
  受攻击的网页效果：
  

• 可复现问题的网页地址 A minimal demo of the problem via https://jsfiddle.net or http://codepen.io/pen if possible.
  https://valine.js.org/

• 受影响的Valine版本、操作系统，以及浏览器信息 Which versions of Valine, and which browser / OS are affected by this issue?
  未测试过老版本，但最新v1.4.14版本存在该问题