我正在使用HDIV 2.1.9和spring,我有以下配置
<hdiv:paramsWithoutValidation>
<hdiv:mapping url="/secured/content/*." parameters="data"/>
</hdiv:paramsWithoutValidation>
在/ secured / content / URL下我有很多带有名称数据的输入文本区域的页面,用于存储来自html jscript编辑器的内容(sumernote)。 HDIV不会从帖子中排除数据参数,每次我尝试保存html数据时都会生成hdiv访问异常。
如何正确配置HDIV以排除验证中的数据输入? 如果HDIV有任何选项允许来自编辑器的安全html文本(没有脚本标签或其他危险的xss代码),那将是很棒的。即使对于由jscript编辑器生成的内联样式标记,产生HDIV违规也不是很灵活。现代Web应用程序几乎总是包含允许基本HTML代码的文本区域。
答案 0 :(得分:0)
您在这些“数据”参数中禁用了完整性验证,但未禁用“可编辑验证”。
在此处查找文档:http://www.hdiv.org/hdiv-documentation-single/doc.html#configuration-editabledata
您必须添加此配置选项以禁用给定参数的所有验证规则:
<hdiv:editableValidations>
<hdiv:validationRule url="/secured/content/.*" parameters="data" enableDefaults="false"></hdiv:validationRule>
More rules...
</hdiv:editableValidations>