3
primefaces p : editor는 html을 사용하여 텍스트를 구성하므로 h : outputText의 이스케이프 속성을 false로 설정해야 html 태그없이 출력이 표시됩니다.Primefaces p : 편집기를 안전하게 사용할 수 있습니까?
나는 자바 스크립트 다음이 구성 요소와 비트 주위 재생하려고하고, 입력 된 :
출력 (I는 간단한 텍스트, 아니 JS 실행있어) I가 켜져까지 동일<script>
$(document).ready(function(){
$("div").text("haha");
})
</script>
'Show Source'옵션을 선택하고 입력하십시오. 이제 텍스트를 표시하려고 할 때, te javascript가 실행되어 페이지를 망쳤습니다.
제 질문은 : 이 구성 요소의 접근, 구현, 사용에 취약점이 있습니까? 또는 p : 편집기가 너무 취약합니까? 대신에 간단한 텍스트 영역을 사용해야합니까, 아니면이 옵션을 편집기에서 제거 할 수있는 방법이 있습니까?
당신이 속성에 의해 편집기의 모든 컨트롤을 비활성화 할 수 있습니다
현재 페이지의 내용과 JS를 실행 . 따라서 순수한 타당성은 보안 위험이 아닙니다. – Yoshi
그래도 DB에 텍스트를 저장하고 다른 사용자에게 표시하도록하면 어떻게됩니까? (예 : 블로그에 대한 의견)?어쩌면 내가 틀렸지 만, 대본은 그들을 위해 처형 될 것입니까? 저장시 텍스트를 항상 확인하고 원하지 않는