我正在使用 JSF 1.2。我想向用户显示一条消息,内容如下
“请点击这里使用您的新密码登录。”
我的 xhtml 页面中的代码,
<h:outputFormat value="#{msg.resetBackToLogin}" escape="false"></h:outputFormat>
下面是我的属性文件中的代码。
请<a href="http://myDomain/">点击这里</a>使用您的新密码登录。
因为它包含特殊字符,所以我使用h:outputFormatwith escape=false。我觉得,使用h:commandLink和调用 bean 方法并在那里重定向只会增加开销。
在使用h:outputFormatwith 时escape=false,这将导致 XSS 攻击。如果坚持,我该如何防止这种情况h:outputFormat?