Java 在h:InputExtArea中阻止Html标记_Java_Html_Jsf

Java 在h:InputExtArea中阻止Html标记

java html jsf

Java 在h:InputExtArea中阻止Html标记,java,html,jsf,Java,Html,Jsf,我需要阻止一个h:InputExtArea的Html标记。此文本区域的内容将显示在输出文本中，转义设置为false。它被设置为false，因为我允许显示链接当我单击save时，它会验证所写的单词，以检查是否有链接，如果有，则使用如果我在上面所做的是错误的，请让我知道，但不要忘记尝试帮助我阻止html标记。如果我在怎么做上错了，我会稍后再做，但我需要像我现在说的那样解决这个问题： ty您应该使用其他一些标记语言，如HTML来防止XSS。如果允许使用a标记，用户仍然可以编写以下内容： <

我需要阻止一个h:InputExtArea的Html标记。此文本区域的内容将显示在输出文本中，转义设置为false。它被设置为false，因为我允许显示链接

当我单击save时，它会验证所写的单词，以检查是否有链接，如果有，则使用

如果我在上面所做的是错误的，请让我知道，但不要忘记尝试帮助我阻止html标记。如果我在怎么做上错了，我会稍后再做，但我需要像我现在说的那样解决这个问题：

您应该使用其他一些标记语言，如HTML来防止XSS。如果允许使用a标记，用户仍然可以编写以下内容：

<a href="javascript:doSomethingEvil()">foo</a>

如果你继续尝试寻找和过滤类似的东西，看看下面这些很好的例子：

编辑：如果它真的是唯一的标记，您希望允许并且只希望有可点击的链接，那么为什么不尝试识别文本中的URL，而不是强制用户编写HTML？退房