从dbms我得到的东西像<font color="red"> abc</font>。当它到达xhtml文件中的${someManagedBean.someValue}时,输出将被清理。这对于99999%的病例来说是很好的。
问题:有没有办法禁用这个自动转义?
附加问题:我可以只允许html而不允许javascript吗?
<h:outputText value="#{someManagedBean.someValue}" escape="false" />
https://docs.oracle.com/javaee/7/javaserver-faces-2-2/vdldocs-facelets/h/outputText.html
escape=false
不确定只防止JS。您可能必须自己解析HTML以摆脱<script>和内容。
EDIT -删除链接(http://www.jsftoolbox.com/documentation/help/12-TagReference/html/h_outputText.html),因为它是陈旧的。
outputFormat标签可以帮助您。请查看http://www.mkyong.com/jsf2/jsf-2-outputformat-example/