Dal dbms ricevo cose come <font color="red"> abc</font>
. Quando raggiunge lo ${someManagedBean.someValue}
nel mio file xhtml, l'output è sterilizzato. Questo è ottimo per il 99,999% di tutti i casi.JSF per favore non scappare dal mio codice HTML
Domanda: C'è un modo per disabilitare l'auto-fuga?
Domanda bonus: Posso consentire solo html e non consentire javascript?
Se si desidera consentire l'html, ma non consentire javascriot, guardare l'antisomia OWASP – Erlend