本文详解了在 Go 语言中安全、高效地将 Markdown 转换为 HTML 的现代实践，明确指出早已归档弃用的 blackfriday 库不再可靠，强烈推荐迁移到活跃维护、Hugo 官方采用的 goldmark 库；文章以仅三行代码的极简示例切入，深入剖析扩展注册（如表格、代码高亮、GFM 支持）、HTML 转义控制与 XSS 防护的关键细节，并直击开发者常见痛点——比如“表格不渲染”“代码块无 class”“链接自动注入风险”，强调配置成败往往取决于 WithExtensions 和 WithRendererOptions 的正确组合，而非复杂调参，为构建生产级博客或文档系统提供清晰、务实、避坑的落地指南。

blackfriday 已被弃用，别再用它了

Go 官方生态里 blackfriday 确实曾是 Markdown 渲染主力，但它早在 2020 年就正式归档（archived），不再维护。现在直接 go get github.com/russross/blackfriday/v2 虽能装上，但遇到 CommonMark 兼容性问题、安全更新缺失、HTML 实体处理异常时，没人修。

替代方案明确：用 goldmark —— 它是 Hugo 默认引擎，活跃维护，扩展性强，且 API 更符合 Go 的惯用写法。

goldmark 渲染 HTML 的最小可行代码

不加任何扩展、不改配置，只做基础转换，三行代码足够：

md := goldmark.New()
var buf bytes.Buffer
if err := md.Convert([]byte("# Hello"), &buf); err != nil {
    log.Fatal(err)
}
html := buf.String() // "
Hello
"

• goldmark.New() 返回的是线程安全实例，可复用，别每次渲染都新建
• md.Convert() 第二个参数必须是 io.Writer，bytes.Buffer 最常用；别传 *strings.Builder，它不实现 Write() 方法
• 输入字节切片不能是 nil，空字符串可以，但 nil 会 panic

启用代码高亮和表格支持要手动加扩展

默认 goldmark 不开语法糖：没有

，得显式注册扩展模块。
表格：加 extension.Table，否则 | a | b | 原样输出
代码块高亮：需组合 extension.CodeFence + chroma.Highlighting（推荐 github.com/alecthomas/chroma）
注意顺序：WithExtensions() 必须在 goldmark.New() 里调用，不是链式调用在 Convert() 上
常见错误：漏掉 extension.GFM —— 它是 GitHub Flavored Markdown 的聚合包，含表格、任务列表、脚注等，单独加 Table 不等于 GFM 全功能。
HTML 输出不转义或 XSS 风险怎么控
goldmark 默认对所有 HTML 标签做转义（比如把