Jsf h:commandLink和不安全内联
如果您看看Jsf h:commandLink和不安全内联,jsf,content-security-policy,Jsf,Content Security Policy,如果您看看h:commandLink是如何解析的,它看起来是这样的 //JSF <h:commandLink action="#{user.goLoginPage}" value="Login page + Param "> <f:param name="username" value="mkyong" /> </h:commandLink> //HTML output <script type="text/javascript" src="
h:commandLink
是如何解析的,它看起来是这样的
//JSF
<h:commandLink action="#{user.goLoginPage}" value="Login page + Param ">
<f:param name="username" value="mkyong" />
</h:commandLink>
//HTML output
<script type="text/javascript"
src="/JavaServerFaces/faces/javax.faces.resource/jsf.js?ln=javax.faces&stage=Development">
</script>
<a href="#"
onclick="mojarra.jsfcljs(document.getElementById('j_idt6'),
{'j_idt6:j_idt20':'j_idt6:j_idt20','username':'mkyong'},'');
return false">
Login page + Param
</a>
//JSF
//HTML输出
问题是,如果您强制执行不安全的内联
,您的浏览器将拒绝执行此操作
我一直在使用白名单内联脚本
是否有方法允许
h:commandLinks
工作 在HTML中,无法使用