Может быть вопрос о noobish (скорее всего), но в соответствии с официальными документами разработчика. HTML-виджет GWT не является безопасным для XSS, и нужно проявлять осторожность при встраивании пользовательского текста HTML/Script.GWT HTML Widget XSS security
Так я думаю, мой вопрос, почему это:
HTML testLabel = new HTML("dada<script type='text/javascript'>document.write('<b>Hello World</b>');</script>");
Не показывать яваскрипт всплывающего окна? Если каким-то образом HTML-виджет GWT защищает от атак XSS, то в каких ситуациях он не работает (так что я могу знать, чего ожидать)?
см. Подобное сообщение здесь: [SafeHTml] (http://stackoverflow.com/questions/6177329/gwt-safehtml-xss-best-practices) – Shehzad