security - 为什么grails.views.default.codec不默认为 “html”?

标签 security grails gsp

Grails Config.groovy设置grails.views.default.codec指定用于在Grails View 中的${...}中对数据进行编码的默认编解码器。

此配置设置可以采用none(无需过滤),html(避免XSS攻击)和base64(没有我所知的实际用例)中的任何值。

Grails的默认值为none(不过滤)。

问题:

  • 是否有任何令人信服的技术理由不使用更安全的选项“html”?
  • 您何时选择在Grails项目中使用默认选项“none”?

    • 最佳答案

    有关类似主题here.的问题。我没有在这方面要求专业知识,但是我想。为什么默认情况下不是html对我来说很奇怪。我找到了GRAILS-2945,它是在这里提出的,但最终被拒绝了,没有太多的解释。首次实现此问题时,GRAILS-1827中还提供了更多信息。

    关于security - 为什么grails.views.default.codec不默认为 “html”?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1750163/

    上一篇:swing - 具有自动多行支持的消息对话框?

    下一篇:用于 S4 方法的 R match.call()

    相关文章:

    security - Apache Camel 2.14 Rest DSL 安全性

    javascript - Grails、javascript 渲染模板后不响应

    grails - 如何防止直接访问Grails中的* .gsp页面

    java - 如何在 Java 中将 PKCS#8 编码的 RSA key 转换为 PKCS#1?

    security - 如何跟踪 ubuntu 服务器上的恶意软件来源并阻止它

    javascript - SPA 中刷新 token Cookie 的 CSRF 保护

    list - Grails 2.3.x在GSP中更新列表(查看)并将更改保存在数据库中

    grails - 批量更新的有效方法是从列表中顺序分配值?

    security - Grails + Spring Security一次登录

    grails - 如何在grails中上传多个文件

    ©2024 IT工具网  联系我们