Fatal编程技术网
  • jsf/
  • Jsf h:commandLink和不安全内联

Jsf h:commandLink和不安全内联

jsf

Jsf h:commandLink和不安全内联,jsf,content-security-policy,Jsf,Content Security Policy,如果您看看h:commandLink是如何解析的,它看起来是这样的 //JSF <h:commandLink action="#{user.goLoginPage}" value="Login page + Param "> <f:param name="username" value="mkyong" /> </h:commandLink> //HTML output <script type="text/javascript" src="

如果您看看
h:commandLink
是如何解析的,它看起来是这样的

//JSF
<h:commandLink action="#{user.goLoginPage}" value="Login page + Param ">
    <f:param name="username" value="mkyong" />
</h:commandLink>

//HTML output
<script type="text/javascript"
 src="/JavaServerFaces/faces/javax.faces.resource/jsf.js?ln=javax.faces&stage=Development">
</script>

<a href="#"
    onclick="mojarra.jsfcljs(document.getElementById('j_idt6'),
    {'j_idt6:j_idt20':'j_idt6:j_idt20','username':'mkyong'},'');
    return false">
    Login page + Param
</a>

//JSF
//HTML输出
问题是,如果您强制执行
不安全的内联
,您的浏览器将拒绝执行此操作

我一直在使用白名单内联脚本

是否有方法允许
h:commandLinks
工作

在HTML中,无法使用


  •