带有连续换行符和XSS恐惧的界面确认对话框

问题描述 投票:0回答:1

我有一个命令按钮,带有使用质数的确认动作:

<p:commandButton value="Test"
    rendered="..."
    action="#{controller.actionMethod(param)}">
    <p:confirm header="Confirmation" escape="false" message="This is a really long message test &lt;br/&gt; 
        This is a really long message test."/>
</p:commandButton>

我已经了解到关闭转义是潜在的XSS攻击漏洞,所以我试图解决此问题而不在消息中使用换行符(并允许转义= true)

confirmDialog是全局的:

<p:confirmDialog global="true" showEffect="fade" hideEffect="fade">
    <p:commandButton value="Yes"
        type="button" styleClass="ui-confirmdialog-yes" icon="ui-button-icon-left ui-icon ui-c ui-icon-check" />
    <p:commandButton value="No"
        type="button" styleClass="ui-confirmdialog-no" icon="ui-button-icon-left ui-icon ui-c ui-icon-close" />
</p:confirmDialog>

我尝试使用行前换行来使用样式,但是我还没有运气。我在追寻非问题吗?这实际上是XSS漏洞吗?

java jsf primefaces
1个回答
0
投票
[如果您要使用这种方式,还是假设您多次使用documentation manual中的Prime Faces 7,则给出了转义属性,而对XSS没有任何警告。当我从用户那里获得文本输入时,我比按钮输入更担心XSS。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.