为什么HTML显示为String
我有一个结果列表
[[<a onclick="viewEmpDetails('563291f0af6a1ecb740f904c','false','UniqueId')" title='View' style='cursor:pointer'><i class='ace-icon fa fa-search-plus grey' style='width:30px;'> </i></a>, 02/02/49, 02/02/49, 02/02/1949, 11-Jan-1916, 10-Feb-33]]
我正在使用下面的代码来迭代
<g:each in="${session.treeGridJsonObject}" var="lists">
<g:each in="${lists}" var="list">
<td>${list}</td>
</g:each>
</g:each>
但是我在GSP中将html代码作为字符串。
我如何在控制器中添加html数据
htmlData += "<a onclick=\"viewEmpDetails('"+row['UniqueId']+"','false','UniqueId')\" title='View' style='cursor:pointer'><i class='ace-icon fa fa-search-plus grey' style='width:30px;'> </i></a>"
当我尝试调试它时显示双引号。
1 个答案:
答案 0 :(得分:7)
这是为了防止XSS attacks。这样,如果用户提交了一些javascript,则在向其他人显示时不会运行。有多种方法可以输出原始数据:
${raw(content)}
或
${content.encodeAsRaw()}
或
<g:encodeAs codec="Raw">${content}</g:encodeAs>
或
<g:encodeAs codec="None">${content}</g:encodeAs>
请参阅http://mrhaki.blogspot.nl/2013/11/grails-goodness-generating-raw-output.html
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?