我正在使用PrimeFaces与JSF 2.0来构建一个应用程序.我正在使用PrimeFaces< p:editor>组件,使用户能够创建丰富的文本.但是这个组件的输出是
HTML源码,如下所示:
String text = "<p>This text <i>contains</i> some <b>HTML</b> code.</p>";
当我在< h:outputText>中显示时如下:
<h:outputText value="#{bean.text}" />
<p>This text <i>contains</i> some <b>HTML</b> code.</p>
是否有任何可以解释HTML源的组件,< I>实际上显示为斜体和< b>如大胆?
This text contains some HTML code.
解决方法
JSF默认从支持bean属性转义HTML,以防止XSS攻击漏洞.要禁用它,只需设置< h:outputText>的escape属性即可.假的
<h:outputText ... escape="false" />
这样,HTML将不会被转义,因此将被webbrowser解释.
与具体问题无关,请注意XSS攻击,因为您在这里基本上重新显示用户控制的输入未转义.您可能想要事先消毒.
> What is the general concept behind XSS?
> CSRF,XSS and SQL Injection attack prevention in JSF
> Server side HTML sanitizer/cleanup for JSF
> Escape everything but linebreaks in h:outputText
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
