当h:outputFormat与escape = false一起使用时,如何防止XSS攻击?

时间:2012-11-08 03:52:01

标签: xss jsf-1.2

使用的是JSF 1.2。我想向User显示一条消息,如下所示

“请click here使用新密码登录。”

我的xhtml页面中的代码,

<h:outputFormat value="#{msg.resetBackToLogin}" escape="false"></h:outputFormat>

以下是我的Property文件中的代码。

<a href="http://myDomain/">点击此处</a>以使用新密码登录。

由于它包含特殊字符,因此h:outputFormat使用escape=false。我觉得,使用h:commandLink并调用bean方法并重定向就会增加开销。

正在使用h:outputFormatescape=false,这将导致XSS攻击。如果坚持h:outputFormat,我该如何防止这种情况?

0 个答案:

没有答案