我有一个命令按钮,带有使用质数的确认动作:
<p:commandButton value="Test"
rendered="..."
action="#{controller.actionMethod(param)}">
<p:confirm header="Confirmation" escape="false" message="This is a really long message test <br/>
This is a really long message test."/>
</p:commandButton>
我已经了解到关闭转义是潜在的XSS攻击漏洞,所以我试图解决此问题而不在消息中使用换行符(并允许转义= true)
confirmDialog是全局的:
<p:confirmDialog global="true" showEffect="fade" hideEffect="fade">
<p:commandButton value="Yes"
type="button" styleClass="ui-confirmdialog-yes" icon="ui-button-icon-left ui-icon ui-c ui-icon-check" />
<p:commandButton value="No"
type="button" styleClass="ui-confirmdialog-no" icon="ui-button-icon-left ui-icon ui-c ui-icon-close" />
</p:confirmDialog>
我尝试使用行前换行来使用样式,但是我还没有运气。我在追寻非问题吗?这实际上是XSS漏洞吗?