从dbms中,我得到了类似的东西<font color="red"> abc</font>。当它到达${someManagedBean.someValue}我的xhtml文件中时,输出将被清除。这对于所有案例中的99,999%来说都是很好的。
<font color="red"> abc</font>
${someManagedBean.someValue}
问题:有什么方法可以禁用此自动转义功能吗?
奖励问题:我可以只允许html而不允许javascript吗?
https://docs.oracle.com/javaee/7/javaserver-faces-2-2/vdldocs- facelets/h/outputText.html
escape=false
不确定只阻止JS。您可能必须自己解析HTML才能删除<script>和内容。
<script>
