3

我的意思是,primefaces p:editor 使用 html 来构造文本,所以我必须将 h:outputText 的转义属性设置为 false,以显示没有 html 标记的输出。

我试图玩弄这个组件,并输入了以下 javascript:

<script>
    $(document).ready(function(){
        $("div").text("haha");
    })
</script>

输出是相同的(我得到一个简单的文本,没有执行 js),直到我打开选项“显示源”并输入相同的内容。现在,当我试图显示文本时,te javascript 被执行并破坏了页面。

所以我的问题是:我的方法、实现、使用这个组件是否存在漏洞?还是 p:editor 如此脆弱?我应该改用简单的文本区域,还是有办法从编辑器中删除此选项?

4

1 回答 1

-2

您可以通过属性“控件”禁用对编辑器的任何控制

http://courses.coreservlets.com/Course-Materials/pdf/jsf/primefaces/users-guide/p-editor.pdf

粗体 • 斜体 • 下划线 • 删除线 • 下标 • 上标 • 字体 • 大小 • 样式 • 颜色 • 突出显示 • 项目符号 • 编号 • 左对齐 • 居中 • 右对齐 • 对齐 • 撤消 • 重做 • 规则 • 图像 • 链接 • 取消链接 • 剪切 • 复制 • paste • pastetext • print • source • outdent • indent • removeFormat

您可以使用上述任何关键字来指定您想要的控件

例如:

于 2015-01-05T19:23:48.563 回答