Preserve nuove linee quando si utilizza il codec HTML in Grails viste

Question

funzionalità di prevenzione Grails XSS è piuttosto comodo, così ho abilitato utilizzando:

grails.views.default.codec = "html" 

Anche se, questo crea un problema con html textareas. Se completiamo un textarea e usiamo Invio per interrompere le linee, le nuove linee vengono salvate nel DB, ma vengono ignorate nella vista. Potrei usare <%=%> e replaceAll('\n',"<br>") per correggere le interruzioni di riga, ma il codice HTML compilato nello textarea non sarebbe stato scappato e non ci sarebbe stata alcuna prevenzione XSS!

Come risolverebbe questo problema?

Answer 1

Prima di pronunciare il tuo textarea nel GSP, si potrebbe

• codificare la stringa come HTML
• convertire i caratteri di nuova riga alla <br/>.

Ciò può essere ottenuto salvando il seguente tag lib a graal-app/taglib:

class LinesTagLib { 
    def lines = { attrs, body -> 
    out << attrs['string'].encodeAsHTML().replace('\n', '<br/>\n') 
    } 
} 

Come abbiamo già applicato encodeAsHTML() nel tag, si dovrà disabilitare codec HTML quando si utilizza il tag (usando <%=expression%> invece di ${expression}):

<g:lines string="<%=savedTextarea%>" /> 

---

un'alternativa sarebbe quella di scrivere il proprio codec per questo:

class HTMLLinesCodec{ 
    static encode = { str -> 
    str.encodeAsHTML().replace('\n', '<br/>\n') 
    } 
} 

È quindi possibile utilizzare questo codec per i file GSP in cui si desidera questo comportamento con l'aggiunta di direttiva:

<%@ defaultCodec="HTMLLines" %>