Dal dbms ricevo cose come <font color="red"> abc</font>. Quando raggiunge lo ${someManagedBean.someValue} nel mio file xhtml, l'output è sterilizzato. Questo è ottimo per il 99,999% di tutti i casi.JSF per favore non scappare dal mio codice HTML
Domanda: C'è un modo per disabilitare l'auto-fuga?
Domanda bonus: Posso consentire solo html e non consentire javascript?
http://www.jsftoolbox.com/documentation/help/12-TagReference/html/h_outputText.html
escape=false
Non sono sicuro su come prevenire JS solo però. Potrebbe essere necessario analizzare l'HTML autonomamente per sbarazzarsi di <script> e dei contenuti.
<h:outputText value="#{someManagedBean.someValue}" escape="false" />
tag OutputFormat può aiutarti. Si prega di verificare http://www.mkyong.com/jsf2/jsf-2-outputformat-example/
Se si desidera consentire l'html, ma non consentire javascriot, guardare l'antisomia OWASP – Erlend