3

Grails Config.groovy 设置grails.views.default.codec指定用于${...}在 Grails 视图中编码数据的默认编解码器。

此配置设置可以采用任何值none(无需过滤)、html(以避免 XSS 攻击)和base64(没有我所知道的实际用例)。

Grails 默认为none(无过滤)。

问题:

  • 是否有任何令人信服的技术理由不使用更安全的选项“html”?
  • 您什么时候选择在 Grails 项目中使用默认选项“无”?
4

1 回答 1

1

关于类似主题的问题here。. 我没有在这方面声称拥有丰富的专业知识,但我想。为什么它默认不是 html 对我来说很奇怪。我找到了 GRAILS-2945,这是提出但最终被拒绝的地方,没有太多解释。当问题首次实施时, GRAILS-1827中还有一些更多信息。

于 2009-11-17T18:41:57.193 回答