我有一个相当棘手的问题。我有一个 SharePoint 2010 列表定义。在这个定义中,我定义了一个字段,如下所示:
<Field ID="{AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAA}"
Name="MyComponentHTMLTemplate"
DisplayName="HTML template"
Type ="HTML"
Description="HTML template for (my component)."
StaticName=MyComponentHTMLTemplate"
RichText ="FALSE"
RichTextMode ="FullHtml"
Required="FALSE">
<Default>
<![CDATA[<a href='{URL}' title='{DESCRIPTION}'>{KEYWORD}</a>]]>
</Default>
</Field>
如您所见,该字段接受 html 标签。这是期望的行为。但是,该字段不能接受一件事 -<scrpit>标签。
<a href='{URL}' title='{DESCRIPTION}'>{KEYWORD}<script>alert.('this is not allowed')</script></a>
这是为了防止跨站点脚本和类似的恶作剧。如何将字段设置为接受 html,但不接受脚本标签?到目前为止,我的谷歌搜索没有得到任何答案。任何意见,将不胜感激。