过滤条件过于苛刻，导致一些不期望的结果。

例如对于确保安全的连接 `<a href='user/1'>` 依然被过滤掉。

另外像用户输出的 `<script>...</script>` 这样的标签，能否使其原样输入而不是直接丢掉？