В моем веб-приложении JSF я использую сообщения messages.properties для вывода текста. Этот текст может иметь разрывы строк HTML, поэтому отформатируйте выходной текст.

Это все работает нормально, если я установил атрибут escape = "false" в выходной текст.

Проблема в том, что этот атрибут со значением «false» не предотвращает vor XSS (межсайтовый скриптинг), поэтому я удаляю этот атрибут и использую значение по умолчанию «true».

Поэтому я не хочу разбивать все текстовые строки на отдельные свойства в моих messages.properties, как в этом примере:

mytext = This is my text<br />with line break and user value {0}...

после:

mytext1 = This is my text
mytext2 = with line break and user value {0}...

Есть ли способ, кроме escape = "false", но это мешает xss?

Спасибо!