3

つまり、primefaces p:editor は html を使用してテキストを構造化するため、h:outputText のエスケープ属性を false に設定して、html タグなしで出力を表示する必要があります。

このコンポーネントを少しいじってみたところ、次の JavaScript を入力しました。

<script>
    $(document).ready(function(){
        $("div").text("haha");
    })
</script>

オプション「ソースを表示」をオンにして同じものを入力するまで、出力は同じでした(単純なテキストが表示され、jsの実行はありませんでした)。テキストを表示しようとしたときに、javascript が実行され、ページが台無しになりました。

したがって、私の質問は次のとおりです。このコンポーネントのアプローチ、実装、使用に脆弱性はありますか。または p:editor は非常に脆弱ですか? 代わりに単純なテキストエリアを使用する必要がありますか、またはこのオプションをエディターから削除する方法はありますか?

4

1 に答える 1

-2

属性「controls」によってエディターのコントロールを無効にすることができます

http://courses.coreservlets.com/Course-Materials/pdf/jsf/primefaces/users-guide/p-editor.pdf

太字 • 斜体 • 下線 • 取り消し線 • 下付き文字 • 上付き文字 • フォント • サイズ • スタイル • 色 • ハイライト • 箇条書き • 番号付け • 左揃え • 中央揃え • 右揃え • 両端揃え • 元に戻す • やり直し • ルール • 画像 • リンク • リンク解除 • 切り取り • コピー •ペースト • ペーストテキスト • 印刷 • ソース • アウトデント • インデント • removeFormat

上記のキーワードのいずれかを使用して、必要なコントロールを指定できます

例:

于 2015-01-05T19:23:48.563 に答える