现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成 XSS)的威胁,而静态站点则完全不受其影响。
攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取/污染cookie和植入恶意广告等。
对XSS最佳的防护应该结合以下两种方法:一是验证所有输入数据,有效检测攻击(这个我们前面小节已经有过介绍);
另一个是对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行。
那么Go里面是怎么做这个有效防护的呢?Go的html/template里面带有下面几个函数可以帮你转义
- func HTMLEscape(w io.Writer, b []byte) //把b进行转义之后写到w
- func HTMLEscapeString(s string) string //转义s之后返回结果字符串
- func HTMLEscaper(args ...interface{}) string //支持多个参数一起转义,返回结果字符串
fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //输出到服务器端
fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password")))
template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
Go的html/template包默认帮你过滤了html标签,但是有时候你只想要输出这个
alert()
看起来正常的信息,该怎么处理?请使用text/template。请看下面的例子:import "text/template"
...
t, err := template.New("foo").Parse(`{
{define "T"}}Hello, {
{.}}!{
{end}}`)
err = t.ExecuteTemplate(out, "T", "")
输出
Hello, !
或者使用template.HTML类型
import "html/template"
...
t, err := template.New("foo").Parse(`{
{define "T"}}Hello, {
{.}}!{
{end}}`)
err = t.ExecuteTemplate(out, "T", template.HTML(""))
输出
Hello, !
转换成
template.HTML
后,变量的内容也不会被转义转义的例子:
import "html/template"
...
t, err := template.New("foo").Parse(`{
{define "T"}}Hello, {
{.}}!{
{end}}`)
err = t.ExecuteTemplate(out, "T", "")
【go预防跨站脚本】转义之后的输出:
Hello, <
script>
alert('
you have been pwned'
)<
/script>
!
推荐阅读
- go处理文件上传
- vue|vue.cli项目封装全局axios,请求封装,封装公共的api和调用请求
- Linux|Linux网络(应用层HTTP)
- 前端|前端面试(浏览器输入网址后发生了什么())
- node|nodejs学习之旅--异步终极解决方案async和await--Ajax--浏览器访问网站的基本过程以及http详解
- http|web和http协议
- http|HTTP和HTTPS详解
- 面试笔试题|Https的加密原理是什么()
- http|《彩虹屁》快夸夸我!彩虹屁生成器