Fatal编程技术网
  • security/
  • Security 为什么';t grails.views.default.codec默认为";html";?

Security 为什么';t grails.views.default.codec默认为";html";?

security grails

Security 为什么';t grails.views.default.codec默认为";html";?,security,grails,gsp,Security,Grails,Gsp,Grails Config.groovy设置Grails.views.default.codec指定用于在Grails视图中对${…}中的数据进行编码的默认编解码器 此配置设置可以采用任何值none(无需过滤)、html(以避免XSS攻击)和base64(据我所知,没有实际用例) Grails的默认值是none(无过滤) 问题: 不使用更安全的选项“html”是否有令人信服的技术原因 在Grails项目中,您何时选择使用默认选项“none” 关于类似主题的问题。我不认为这方面有什么专业知识,但

Grails Config.groovy设置
Grails.views.default.codec
指定用于在Grails视图中对
${…}
中的数据进行编码的默认编解码器

此配置设置可以采用任何值
none
(无需过滤)、
html
(以避免XSS攻击)和
base64
(据我所知,没有实际用例)

Grails的默认值是
none
(无过滤)

问题:

  • 不使用更安全的选项“html”是否有令人信服的技术原因
  • 在Grails项目中,您何时选择使用默认选项“none”
      • 关于类似主题的问题。我不认为这方面有什么专业知识,但我想。为什么它默认不是html对我来说很奇怪。我发现,这一建议被提出,但最终被拒绝,没有太多的解释。在该问题首次实施时,中还提供了更多信息