何时在Grails中编码为HTML

Question

我经常看到Grails示例代码，程序员调用了一个名为encodeAsHTML()的方法。我想我应该在我的Grails应用程序中使用它（出于安全原因，我假设？），但我想知道何时我应该使用这种方法。什么对象/属性/等。是encodeAsHTML()方法的候选人吗？

谢谢！

Answer 1

将encodeAsHTML()（或encodeAsJavaScript等）用于您从用户那里获得的所有内容。对于可由用户修改的每个字符串（来自输入表单，来自请求参数，来自外部API调用等）

另见：

• https://en.wikipedia.org/wiki/Cross-site_scripting
• https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Answer 2

我不确定这是什么时候引入Grails，但如果在Config.groovy中设置了grails.views.default.codec="html"，那么只要您在GSP中使用encodeAsHTML()，就会调用${}。

来源：http://alwaysthecritic.typepad.com/atc/2010/06/grails-gsp-html-escaping-confusion.html