Есть ли общий способ избежать содержимого HTML в полях ввода ADF

Question

Есть ли общий способ избежать содержимого HTML в полях ввода ADF

Мое приложение разработано с использованием Oracle ADF. я использую <af:inputText> поля ввода в моих формах.

Здесь я должен избегать содержимого HTML в полях ввода. Есть ли способ в ADF, чтобы избежать HTML-содержимого в полях ввода формы.

-2

jsf oracle-adf jspx

Источник

user1101310 02 окт '16 в 16:40

2 ответа

Другие вопросы по тегам jsf oracle-adf jspx

user1146336 15 окт '16 в 03:32 2016-10-15 03:32 · Answer 1 · 2016-10-15 03:32

Один из способов решить эту проблему - добавить валидатор в ваш inputText. Итак, у вас будет что-то вроде этого:

<af:inputText ... validator="#{scope.beanName.methodName}".../>

И, конечно, в beanName вам нужно добавить метод проверки:

public void methodName(FacesContext pContext, UIComponent pComponent, Object pValue) {
  String userInput = pValue.toString();
  if( containsHtml(userInput) ) {
     FacesMessage message = new FacesMessage(...);
     throw new ValidationException(message);
  }
}

public boolean containsHtml(String pUserInput) { ... your logic ... }

user2476862 04 окт '16 в 23:03 2016-10-04 23:03 · Answer 2 · 2016-10-04 23:03

OWASP #3 - межсайтовый скриптинг (XSS)

Все данные, вводимые в систему, должны быть проверены, прежде чем они будут сохранены в базе данных. В частности, ввод данных, который впоследствии повторно отображается в пользовательском интерфейсе приложения, создает риск межсайтовых сценариев.

Для обеспечения правильного ввода данных в Oracle ADF, вы должны реализовать следующую стратегию

Ограничьте количество полей ввода свободного текста и замените их выбранными вариантами
Проверьте все пользовательские вводы на более чем одном слое
Выход из выходных данных

Ссылка: http://www.oracle.com/technetwork/developer-tools/adf/adfowasptop10-final-2348304.pdf