我的意思是,primefaces p:editor使用html来构造文本,所以我必须将h:outputText的escape属性设置为false,以显示没有html标签的输出。
我试图用这个组件玩一下,并输入以下javascript:
<script>
$(document).ready(function(){
$("div").text("haha");
})
</script>
输出是相同的(我有一个简单的文本,没有执行js),直到我打开选项'Show Source'并输入相同的内容。现在当我试图显示文本时,te javascript被执行并破坏了页面。
所以我的问题是: 我的方法,实现和使用此组件是否存在漏洞;或p:编辑器是如此脆弱?我应该使用简单的textarea,还是有办法从编辑器中删除此选项?
答案 0 :(得分:-2)
您可以通过属性“controls”
禁用对编辑器的任何控制http://courses.coreservlets.com/Course-Materials/pdf/jsf/primefaces/users-guide/p-editor.pdf
粗体 • 斜体 • 强调 • 删除线 • 标 • 标 • 字形 • 尺寸 • 样式 • 颜色 • 突出 • 子弹 • 编号 • alignleft • 中央 • alignright • 辩解 • 解开 • 重做 • 规则 • 图片 • 链接 • 取消链接 • 切 • 复制 • 糊 • pastetext • 打印 • 资源 • 减少缩进 • 缩进 • removeFormat
您可以使用上述任何关键字来指定您想要的控件
例如: