En mi aplicación web jsf estoy usando un mensaje.properties para generar texto. Este texto podría tener saltos de línea html, así que formatee el texto de salida.

Todo eso funciona bien, si configuro el atributo escape = "false" en el texto de salida.

El problema es que este atributo con valor "falso" no impide vor XSS (secuencias de comandos entre sitios), por lo que elimino este atributo y uso el valor predeterminado "verdadero".

Por lo tanto, no quiero dividir todas las líneas de texto para separar las propiedades en mis mensajes. Propiedades como en este ejemplo:

mytext = This is my text<br />with line break and user value {0}...

después

mytext1 = This is my text
mytext2 = with line break and user value {0}...

¿Hay alguna forma, que no sea escape = "false" pero eso impide que xss?

¡Gracias