任何具有 setHTML 方法的小部件都可能给安全系统带来漏洞,但如果我们验证 String & 只接受一些有限的 html 标签,例如<b>, <i>...
. 然后我们把这个字符串放到 setHTML 方法中。
然后我的问题是“如果我们这样做仍然安全吗”例如,我们检查字符串文本以确保它只包含一些有限的 html 标记<b>, </b>, <i>, </i>..
。如果字符串文本包含其他标签,那么我们不会让用户输入该文本。然后我们使用:
html1.setHTML(text);
而不是html1.setHTML(SafeHtmlUtils.fromString(text))
我不知道为什么html1.setHTML(SafeHtmlUtils.fromString(text))
不生成格式化文本,当我在eclipse中运行它时它只显示纯文本?例如
html1.setHTML(SafeHtmlUtils.fromString("<b>text</b>"))
将有纯文本结果,而不是具有正确 html 格式<b>text</b>
的粗体文本“ text ”