Por que o GRALALS.VIEWS.Default.codec não é o padrão de "html"?
Pergunta
A configuração do Grails Config.groovy grails.views.default.codec
Especifica o codec padrão usado para codificar dados dentro ${...}
nas visualizações do Grails.
Esta configuração de configuração pode levar qualquer um dos valores none
(sem necessidade de filtragem), html
(para evitar ataques XSS) e base64
(não possui caixa de uso do mundo real que eu conheço).
O padrão de graals é none
(sem filtragem).
Perguntas:
- Existem razões técnicas atraentes para não usar a opção mais segura "html"?
- Quando você escolhe ir com a opção padrão de "Nenhum" em seus projetos de Grails?
Solução
Uma pergunta sobre tópico semelhante aqui.. Não reivindico grande experiência sobre isso, mas imagino. Por que não é HTML por padrão é estranho para mim. eu encontrei Grails-2945, onde isso foi proposto, mas finalmente rejeitado, sem muita explicação. Há também mais algumas informações em Grails-1827, quando o problema foi implementado pela primeira vez.