为什么 grails.views.default.codec 不默认为“html”?

【问题标题】:Why doesn't grails.views.default.codec default to "html"?为什么 grails.views.default.codec 不默认为“html”?
【发布时间】:2010-12-17 12:50:39
【问题描述】:

Grails Config.groovy 设置 grails.views.default.codec 指定用于在 Grails 视图中对 ${...} 内的数据进行编码的默认编解码器。

此配置设置可以采用任何值 none(无需过滤)、html(以避免 XSS 攻击)和 base64(我知道没有实际用例)。

Grails 默认为none(无过滤)。

问题:

  • 是否有任何令人信服的技术理由不使用更安全的选项“html”?
  • 您什么时候选择在 Grails 项目中使用默认选项“none”?

【问题讨论】:

    标签: security grails gsp


    【解决方案1】:

    关于类似主题的问题here.。我没有在这方面声称拥有丰富的专业知识,但我想。为什么它默认不是 html 对我来说很奇怪。我找到了GRAILS-2945,这是提出但最终被拒绝的地方,没有太多解释。 GRAILS-1827 中还有一些更多信息,当问题首次实施时。

    【讨论】:

      猜你喜欢
      • 2012-08-03
      • 1970-01-01
      • 2011-09-17
      • 2012-08-06
      • 1970-01-01
      • 2019-04-25
      • 2014-08-09
      • 2010-11-24
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode