使用HTML代码将字符串注入和解释为JSF页面的组件

前端之家收集整理的这篇文章主要介绍了使用HTML代码将字符串注入和解释为JSF页面的组件前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用PrimeFaces与JSF 2.0来构建一个应用程序.我正在使用PrimeFaces< p:editor>组件,使用户能够创建丰富的文本.但是这个组件的输出HTML源码,如下所示:
String text = "<p>This text <i>contains</i> some <b>HTML</b> code.</p>";

当我在< h:outputText>中显示时如下:

<h:outputText value="#{bean.text}" />

然后它将HTML代码显示为纯文本:

<p>This text <i>contains</i> some <b>HTML</b> code.</p>

是否有任何可以解释HTML源的组件,< I>实际上显示为斜体和< b>如大胆?

This text contains some HTML code.

解决方法

JSF默认从支持bean属性转义HTML,以防止XSS攻击漏洞.要禁用它,只需设置< h:outputText>的escape属性即可.假的
<h:outputText ... escape="false" />

这样,HTML将不会被转义,因此将被webbrowser解释.

与具体问题无关,请注意XSS攻击,因为您在这里基本上重新显示用户控制的输入未转义.您可能想要事先消毒.

> What is the general concept behind XSS?
> CSRF,XSS and SQL Injection attack prevention in JSF
> Server side HTML sanitizer/cleanup for JSF
> Escape everything but linebreaks in h:outputText

猜你在找的HTML相关文章