3

Grails Config.groovy 設定は、Grails ビューgrails.views.default.codec内でデータをエンコードするために使用されるデフォルトのコーデックを指定します。${...}

この構成設定は、none(フィルタリングは不要)、html(XSS 攻撃を回避するため)、(base64私が知っている実際のユースケースはありません) のいずれかの値を取ることができます。

Grails のデフォルトはnone(フィルタリングなし) です。

質問:

  • より安全なオプション "html" を使用しない、説得力のある技術的な理由はありますか?
  • Grails プロジェクトでデフォルト オプションの「なし」を選択するのはいつですか?
4

1 に答える 1

1

ここで同様のトピックに関する質問. 私はこれについて大きな専門知識を主張していませんが、想像しています。デフォルトでhtmlではない理由は私には奇妙です。GRAILS-2945を見つけました。これは提案されましたが、あまり説明せずに最終的に拒否されました。この問題が最初に実装されたときのGRAILS-1827にも、さらに詳しい情報があります。

于 2009-11-17T18:41:57.193 に答える