从文档中,我认为Html(value)对 HTML 和 Javascript 进行转义就足够了。但是这段代码让 HTML 标签通过而不转义。
<ul>
@*here is the loop*@
@nodes.map{ n =>
<li> @Html( n) </li> }
</ul>
在渲染视图之前,请提供足以逃避HTML 和 Javascript(以及所有其他危险的东西)的代码。
问问题
471 次
1 回答
0
我相信情况正好相反。该Html函数输出原始字符串而不转义它。默认情况下,Play 会转义插入到模板中的动态内容。请参阅文档中的转义部分。
于 2012-10-25T01:59:13.723 回答