JSF SelectItems и экранирование (xss) - программирование

в моем примере есть selectOneMenu с атрибутом f: selectItems. Элементы select разрешены из моего bean следующим образом:

<h:selectOneMenu value="#{bean.value}">
    <f:selectItems value="#{bean.selectItems}" var="obj" itemValue="#{obj}" itemLabel="#{obj.name}"/>
</h:selectOneMenu>

Метод getSelectItems() в моем bean выглядит следующим образом:

    public List<MyObject> getSelectItems() {
        List<MyObject> list = new LinkedList<MyObject>();

        MyObject obj = new MyObject("Peter");
        list.add(obj);

        return list;
    }

Объекты, которые отображаются, являются простыми объектами с атрибутом "имя".

Ничего особенного до этого момента. Но теперь я меняю свой метод на это:

 public List<MyObject> getSelectItems() {
        List<MyObject> list = new LinkedList<MyObject>();

        MyObject obj = new MyObject("<script>alert('xss is bad');</script>");
        list.add(obj);

        return list;
    }

javascript не экранируется MenuRenderer-Class, и моя страница показывает мне сообщение-предупреждение.

Есть ли причина, по которой значение по умолчанию для escape-атрибута SelectItem является "false"? Как я могу исправить эту проблему? (Я использую Mojarra 2.1.7)

Ответ 1

По умолчанию действительно не было false. Я сообщил об этом как issue 2747.

В то же время добавьте itemLabelEscaped="true", чтобы избежать его.

<f:selectItems ... itemLabelEscaped="true" />

Обратите внимание, что это необходимо только при использовании GenericObjectSelectItems, т.е. при поставке E[]/List<E>/Map<K, V> вместо List<SelectItem>/SelectItem[]. Также обратите внимание, что экранирование является абсолютно обязательным, если оно относится к управляемому пользователем вводу (что, к счастью, очень редко относится к значениям выпадающего списка).