Scala web框架的安全性

Question

我选择了Scala web框架。我正在考虑的框架包括Play、Scalatra和Lift。在我正在准备的项目中，安全性很重要。然而，web安全对我来说是一个模糊的主题，我希望我的框架能在合理的范围内处理它。我似乎被游戏所吸引。

我不是问什么是最安全的框架(根据ads - Lift)，而是，Scala框架是否为我处理安全性，在这方面它们如何比较？我不想仅仅依靠我的知识来保证web-app的安全。

Answer 1

为了回答我自己的问题，我必须学习这些东西，没有人会为我做。还有OWASP cheatsheets；还有OWASP企业安全API或ESAPI。ESAPI看起来很有前途，尽管我还没有用过它。

Answer 2

我会投票给Liftweb http://seventhings.liftweb.net/security

与其他框架(尤其是与java的框架，如Spring)的主要不同之处在于可以称之为“默认行为”。例如，在编写代码时，您可能会忘记“转义”某些html属性。在一个糟糕的框架中，你会得到损坏的html和安全漏洞的错误。在一个好的框架中，你会有双重转义或错误。

示例的完整列表可以在链接中阅读。就我个人而言，我喜欢Lift的原因是它的状态性，Scala绑定到HTML，比如

"#myHtmlNode li div [onclick]" #> ajaxInvoke(...scala code here...)

在上面的代码中，您将100%确定，除了您自己发送页面的用户之外，没有人能够访问ajaxInvoke的内容。当然，逻辑和视图的分离是一种解脱。