JSF 2.0; escape = «ложная» альтернатива для предотвращения XSS?
В моем веб-приложении JSF я использую сообщения messages.properties для вывода текста. Этот текст может иметь разрывы строк HTML, поэтому отформатируйте выходной текст.
Это все работает нормально, если я установил атрибут escape = "false" в выходной текст.
Проблема в том, что этот атрибут со значением «false» не предотвращает vor XSS (межсайтовый скриптинг), поэтому я удаляю этот атрибут и использую значение по умолчанию «true».
Поэтому я не хочу разбивать все текстовые строки на отдельные свойства в моих messages.properties, как в этом примере:
mytext = This is my text<br />with line break and user value {0}...
после:
mytext1 = This is my text
mytext2 = with line break and user value {0}...
Есть ли способ, кроме escape = "false", но это мешает xss?
Спасибо!