Функциональность предотвращения XSS в Grails весьма удобна, поэтому я включил ее, используя:
grails.views.default.codec = "html"
Хотя это создает проблему с текстовыми полями html
. Если мы заполняем текстовое поле
и используем Enter для разрыва строк, новые строки сохраняются в базе данных, но игнорируются в представлении.Я мог бы использовать <% =%>
и replaceAll ('\ n', «
, чтобы исправить разрывы строк, но код HTML заполнил текстовое поле
»)
не удалось бы убежать, и не было бы предотвращения XSS!
Как бы вы обошли эту проблему?