我有一个相当棘手的问题。我有一个SharePoint 2010列表定义。在这个定义中我定义了一个字段,如下所示:
<Field ID="{AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAA}"
Name="MyComponentHTMLTemplate"
DisplayName="HTML template"
Type ="HTML"
Description="HTML template for (my component)."
StaticName=MyComponentHTMLTemplate"
RichText ="FALSE"
RichTextMode ="FullHtml"
Required="FALSE">
<Default>
<![CDATA[<a href='{URL}' title='{DESCRIPTION}'>{KEYWORD}</a>]]>
</Default>
</Field>
如您所见,该字段接受html标记。这是期望的行为。但是,该字段必须接受一件事 - <scrpit>标记。
<a href='{URL}' title='{DESCRIPTION}'>{KEYWORD}<script>alert.('this is not allowed')</script></a>
这是为了防止跨站点脚本和类似的恶作剧。如何将字段设置为接受,html,而不是脚本标记?到目前为止,我的谷歌搜索没有得到答案。任何建议将不胜感激。