Grails Config.groovy 设置grails.views.default.codec
指定用于${...}
在 Grails 视图中编码数据的默认编解码器。
此配置设置可以采用任何值none
(无需过滤)、html
(以避免 XSS 攻击)和base64
(没有我所知道的实际用例)。
Grails 默认为none
(无过滤)。
问题:
- 是否有任何令人信服的技术理由不使用更安全的选项“html”?
- 您什么时候选择在 Grails 项目中使用默认选项“无”?
关于类似主题的问题here。. 我没有在这方面声称拥有丰富的专业知识,但我想。为什么它默认不是 html 对我来说很奇怪。我找到了 GRAILS-2945,这是提出但最终被拒绝的地方,没有太多解释。当问题首次实施时, GRAILS-1827中还有一些更多信息。