Security 为什么';t grails.views.default.codec默认为";html";?
Grails Config.groovy设置Security 为什么';t grails.views.default.codec默认为";html";?,security,grails,gsp,Security,Grails,Gsp,Grails Config.groovy设置Grails.views.default.codec指定用于在Grails视图中对${…}中的数据进行编码的默认编解码器 此配置设置可以采用任何值none(无需过滤)、html(以避免XSS攻击)和base64(据我所知,没有实际用例) Grails的默认值是none(无过滤) 问题: 不使用更安全的选项“html”是否有令人信服的技术原因 在Grails项目中,您何时选择使用默认选项“none” 关于类似主题的问题。我不认为这方面有什么专业知识,但
Grails.views.default.codec
指定用于在Grails视图中对${…}
中的数据进行编码的默认编解码器
此配置设置可以采用任何值none
(无需过滤)、html
(以避免XSS攻击)和base64
(据我所知,没有实际用例)
Grails的默认值是none
(无过滤)
问题:
- 不使用更安全的选项“html”是否有令人信服的技术原因
- 在Grails项目中,您何时选择使用默认选项“none”
- 关于类似主题的问题。我不认为这方面有什么专业知识,但我想。为什么它默认不是html对我来说很奇怪。我发现,这一建议被提出,但最终被拒绝,没有太多的解释。在该问题首次实施时,中还提供了更多信息