Grails差不多和Java Servlets一样可靠。然而由于JVM运行代码的特性,Java servlets对一般的缓冲区溢出和恶意URL使用是极为安全和免疫的。
Web安全问题通常由于开发人员的无知过错造成的,Grails提供了一些帮助,可以避免常出现的错误,使安全应用更加容易编写。
Grails可以自动做什么
Grails拥有一些默认的内置安全机制
-
所有通过GORM域对象访问标准数据库可以自动避免SQL语句以防止SQL注入攻击。
-
默认scaffolding模板HTML文件当打开时所有数据域不显示。
-
所有Grails的链接创建标签(link, form, createLink, createLinkTo 等)都使用适当的转义机制以防止代码注入。
-
Grails提供codecs,运行你在显示HTML,JavaScript和URLs时,转义数据以避免在数据里注入攻击。