是否有标准的 JSF 方式或开源库允许输出转义文本但_with_ html 格式？

Question

我们的用例是，我们需要输出数据库中静态文本和动态值组合的文本，使用具有特定于语言的静态文本块的消息属性来解析全文。

我们需要对输出文本进行转义以防止 XSS 攻击。

但是，我们还需要对完整字符串应用格式，例如：

Hello {username}!

这当然是伪语法，{username} 是一个要替换为真实用户名的变量，其他文本是静态的并在消息属性中定义（例如："Helloy {0}!"）。

普通的 JSF 输出文本将不起作用，因为它要么转义所有内容，要么什么也不转义，从而破坏我们的格式。

请注意，我们无法从这些片段中创建“真正的”JSF 组件，因为变量字段的位置和顺序取决于语言（例如，德语和英语的词序不同）。

Seam 有一个名为 formattedText 处理这个问题并有一个优雅的解决方案。然而，我们不（也不能）在我们的应用程序中使用 Seam。

有类似的方法/库吗？

Answer 1

只需应用 JSTL fn:escapeXml 输出参数。

<h:outputFormat value="#{text['generic.welcome']}" escape="false">
    <f:param value="#{fn:escapeXml(user.name)}" />
</h:outputFormat>