<div dir="ltr">Hi all: MapServer has a number of ways to enable/disable CGI-based functionality. For example the <i>ows_enable_request</i> metadata (RFC 67), the  <i>ms_enable_modes</i> metadata (RFC 90) or the immutable validation value associated with runtime changes (RFC 44). The latter doesn't seem to be particularly well documented so folks probably don't know it's possible. Of these methods, only ows_enable_request requires users to opt in - you have to explicitly allow OWS services. The other methods require users to opt out. I think we should think about changing that in 8.0 and require explicit configuration by default, so:<div><ol><li>Require <i>ms_enable_modes</i> be set before handling native MapServer CGI requests or at least set a more limited default than all modes.</li><li>Consider objects as immutable by default and require users to explicitly configure that at the object-level by adding. Would probably need to extend the VALIDATION block to a few other objects such as scalebars, reference maps and legends. The necessary changes are otherwise not extensive.</li></ol>Note that I consider run-time substitutions as already being explicit since 1) validation is required and 2) users must denote substitution strings as appropriate. Thoughts?</div><div><br></div><div>--Steve<br><div><br></div><div><br></div></div></div>