可能是一个不好的问题(很有可能),但根据官方开发者文档,GWT的HTML小部件不是XSS安全的,并且在嵌入自定义HTML /脚本文本时必须谨慎。GWT HTML Widget XSS安全
,所以我想我的问题是,为什么这样的:
HTML testLabel = new HTML("dada<script type='text/javascript'>document.write('<b>Hello World</b>');</script>");
没有表现出JavaScript弹出?如果以某种方式,GWT的HTML小部件确实能够抵御XSS攻击,那么在什么情况下它不会(所以我可以知道会发生什么)?
看到类似的帖子在这里:[SafeHTml](http://stackoverflow.com/questions/6177329/gwt-safehtml-xss-best-practices) – Shehzad 2012-04-13 11:21:24