使用的是JSF 1.2。我想向User显示一条消息,如下所示
“请click here使用新密码登录。”
我的xhtml页面中的代码,
<h:outputFormat value="#{msg.resetBackToLogin}" escape="false"></h:outputFormat>
以下是我的Property文件中的代码。
请<a href="http://myDomain/">点击此处</a>以使用新密码登录。
由于它包含特殊字符,因此h:outputFormat使用escape=false。我觉得,使用h:commandLink并调用bean方法并重定向就会增加开销。
正在使用h:outputFormat与escape=false,这将导致XSS攻击。如果坚持h:outputFormat,我该如何防止这种情况?