ドキュメントから、Html(value)HTML と Javascript のエスケープはこれで十分だと思いました。しかし、このコードは HTML タグをエスケープせずに通過させます。
<ul>
@*here is the loop*@
@nodes.map{ n =>
<li> @Html( n) </li> }
</ul>
ビューをレンダリングする前に、HTML と Javascript (およびその他すべての危険なもの)を十分に回避できるコードを提供してください。
質問する
471 次
1 に答える
0
私はそれが反対だと信じています。このHtml関数は、エスケープせずに生の文字列を出力します。デフォルトでは、Play はテンプレートに挿入された動的コンテンツをエスケープします。ドキュメントのエスケープに関するセクションを参照してください。
于 2012-10-25T01:59:13.723 に答える