Я тестирую приложение perffaces (4.0) для уязвимостей для межсайтового скриптинга. Теперь я нашел проблему с атрибутом заголовка p: panel.Уязвимость XSS в p: panel?
<p:panel header="#{post.title}" footer="Date: #{post.date}">
Значение атрибута заголовка - это данные, вставленные пользователями. Когда post.title содержит Javascript, он запускается браузером. Например, когда post.title имеет значение <script>alert(1)</script>
, появляется всплывающее окно.
Я не понимаю, почему он не закодирован в этом случае, потому что я думал, что при использовании языка выражения он выводится в любое время. Можете ли вы мне помочь, почему существует уязвимость XSS?