Từ dbms tôi nhận được các công cụ như <font color="red"> abc</font>
. Khi nó đạt đến ${someManagedBean.someValue}
trong tệp xhtml của tôi, đầu ra được khử trùng. Điều đó là rất tốt cho 99,999% của tất cả các trường hợp.JSF xin vui lòng không thoát khỏi html của tôi
Câu hỏi: Có cách nào để tắt tính năng thoát tự động này không?
Câu hỏi thưởng: Tôi chỉ có thể cho phép html và không cho phép javascript?
Nếu bạn muốn cho phép html, nhưng không cho phép javascriot, hãy xem xét kháng nghị OWASP – Erlend