html - 何时在 Grails 中编码为 HTML

Question

我经常看到 Grails 示例代码，其中程序员调用了一个名为encodeAsHTML(). 我想我可能应该在我的 Grails 应用程序中使用它（出于安全原因，我假设？），但我想知道什么时候应该使用这种方法。什么对象/属性/等。encodeAsHTML()是该方法的候选人吗？

谢谢！

Answer 1

对于您从用户那里获得的所有内容，请使用encodeAsHTML()（或等）。encodeAsJavaScript对于用户可以修改的每个字符串（从输入表单、请求参数、外部 API 调用等获取）

也可以看看：

• https://en.wikipedia.org/wiki/Cross-site_scripting
• https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Answer 2

我不确定这是什么时候引入 Grails 的，但如果在Config.groovy你设置grails.views.default.codec="html"then时在 GSP 中encodeAsHTML()使用时会调用它。${}

来源：http ://alwaysthecritic.typepad.com/atc/2010/06/grails-gsp-html-escaping-confusion.html