GrailsでHTMLとしてエンコードする場合

Question

多くの場合、プログラマがencodeAsHTML()というメソッドを呼び出したGrailsサンプルコードが表示されます。私はGrailsのアプリケーションでこれを使うべきだと思っています（セキュリティ上の理由から私は思います）。私はこのメソッドを使うべきです。と思っていました。どのオブジェクト/プロパティ/など。 encodeAsHTML()メソッドの候補ですか？

ありがとうございました！

Answer 1

encodeAsHTML()（またはencodeAsJavaScriptなど）を、ユーザーから入手したすべてについて使用します。

• https://en.wikipedia.org/wiki/Cross-site_scripting
• https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet：ユーザーによって変更することができ、すべての文字列（など、外部のAPI呼び出しから、リクエストパラメータから、入力フォームからもらった）

  も参照してください。

Answer 2

これがGrailsに導入された時期はわかりませんが、0123の場合をgrails.views.default.codec="html"に設定した場合、${}をGSPで使用するたびにencodeAsHTML()が呼び出されます。

出典：http://alwaysthecritic.typepad.com/atc/2010/06/grails-gsp-html-escaping-confusion.html