封面：By Emphrase - Own work, Public Domain, Link

起因：网站纯日文文章的字体问题

最近笔者闲来无事关注一些互联网资讯时发现 DOMPurify 爆了一个漏洞，因为我的站点大量依赖（大嘘） Mermaid 来画图，而 Mermaid 的上游依赖有 DOMPurify，这令人忍俊不禁。

具体漏洞

DOMPurify 是一个用于 HTML、MathML 和 SVG 的高性能、可容错的 DOM 级 XSS 清洗库。

在 3.1.3-3.3.1 和 2.5.3-2.5.8 版本中，其 SAFE_FOR_XML 配置相关的正则表达式由于缺失了对五个 Rawtext 元素（noscript, xmp, noembed, noframes, iframe）的处理，导致存在逻辑缺陷。

说明

下表展示了自2025年6月22日（含）到2025年7月21日（2026.2.7更新：下方展示数据为2025年6月22日（含）到2026年2月7日）李晨煜的b站默认收藏夹所收藏的一千八百余个视频的tag统计信息。以下为相关事项：

Synthesizer V（以下简称SV）是 Dreamtonics 开发的系列歌声合成软件，它结合了将 AI 与样本强力融合的歌声合成引擎，以及精心设计的直观用户界面。只需绘制旋律并输入歌词，即可轻松创作原创歌曲。

鉴于互联网现有资料大多已经过时，笔者现提供Synthesizer V本体、声库的相关购买方式，供读者参考。

Synthesizer V Studio 2 Pro 的购买

方法一：小程序购买

国内用户可方便地使用微信小程序购买软件本体，详情见下方图片。由于购买流程较为简单，此处不再赘述。

购买后填写的电子邮件会收到25位的激活码，访问Dreamtonics个人页面，注册账号后，进入产品页面，点击新注册产品 -> 输入激活码 -> 点击提交 -> 下载对应可执行文件安装。