我经常看到 Grails 示例代码,其中程序员调用了一个名为encodeAsHTML()
. 我想我可能应该在我的 Grails 应用程序中使用它(出于安全原因,我假设?),但我想知道什么时候应该使用这种方法。什么对象/属性/等。encodeAsHTML()
是该方法的候选人吗?
谢谢!
对于您从用户那里获得的所有内容,请使用encodeAsHTML()
(或等)。encodeAsJavaScript
对于用户可以修改的每个字符串(从输入表单、请求参数、外部 API 调用等获取)
也可以看看:
我不确定这是什么时候引入 Grails 的,但如果在Config.groovy
你设置grails.views.default.codec="html"
then时在 GSP 中encodeAsHTML()
使用时会调用它。${}
来源:http ://alwaysthecritic.typepad.com/atc/2010/06/grails-gsp-html-escaping-confusion.html