编程 Golang

go web 预防跨站脚本的实现方式

Posted in Golang onJune 11, 2021

一点睛

现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其缩写成 XSS）的威胁，而静态站点则完全不受其影响。

攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX 或 Flash 以欺骗用户。一旦得手，他们可以盗取用户帐户信息，修改用户设置，盗取或污染 cookie 和植入恶意广告等。

对 XSS 最佳的防护应该结合以下两种方式。

1 验证所有输入数据，有效检测攻击。

2 对所有输出数据进行适当的处理，以防止任何已成功注入的脚本在浏览器端运行。

针对第2种方式，Go 是怎样预防的呢？Go 的 html/template 包中带有下面几个函数可以帮助转义。

func HTMLEscape(w io.Writer, b []byte) // 把 b 进行转义之后写到 w

func HTMLEscapeString(s string) string // 转义 s 之后返回结果字符串

func HTMLEscaper(args ...interface{}) string // 支持多个参数一起转义，返回结果字符串

二先看一个转义的例子

1 代码

package main
 
import (
   "fmt"
   "html/template"
   "log"
   "net/http"
)
 
// 登录逻辑
func login(w http.ResponseWriter, r *http.Request) {
   fmt.Println("method:", r.Method) // 获取请求的方法
   if r.Method == "GET" {
      t, _ := template.ParseFiles("src\\goweb\\demo3\\login.html") // 解析模板
      t.Execute(w, nil)                                            // 渲染模板，并发送给前端
   } else {
      // 请求的是登陆数据，那么执行登陆的逻辑判断
      // 解析表单
      r.ParseForm()
      fmt.Println("username:", r.Form["username"])
      fmt.Println("password:", r.Form["password"])
      template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
   }
}
 
func main() {
   http.HandleFunc("/login", login)         // 设置访问的路由
   err := http.ListenAndServe(":9090", nil) // 设置监听的端口
   if err != nil {
      log.Fatal("ListenAndServe: ", err)
   }
}

2 测试

如果在浏览器输入的 username 是 <script>alert()</script>，在浏览器上将看到下面内容。

go web 预防跨站脚本的实现方式

3 说明

Go 的 html/template 包默认帮忙过滤了 html 标签，将其进行了转义。

4 问题引出

如果要正常输出<script>alert()</script>，怎样处理呢？text/template 可以帮忙进行处理。

三使用 text/template 进行处理

1 代码

package main
 
import (
   "log"
   "net/http"
   "text/template"
)
 
// 转义测试
func escape(w http.ResponseWriter, r *http.Request) {
   // 正常显示
   t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`)
   t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
}
 
func main() {
   http.HandleFunc("/escape", escape)       // 设置转义
   err := http.ListenAndServe(":9090", nil) // 设置监听的端口
   if err != nil {
      log.Fatal("ListenAndServe: ", err)
   }
}

2 测试

go web 预防跨站脚本的实现方式

3 说明

当使用 text/template 这个包时，可以正常显示。

四使用 html/template 进行处理

1 代码

package main
 
import (
   "html/template"
   "log"
   "net/http"
)
 
// 转义测试
func escape(w http.ResponseWriter, r *http.Request) {
   // 转义显示
   t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`)
   t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
    // 正常显示
   t, _ = template.New("foo").Parse(`{{define "T"}}Hello2, {{.}}!{{end}}`)
   t.ExecuteTemplate(w, "T", template.HTML("<script>alert('you have been pwned')</script>"))
}
 
func main() {
   http.HandleFunc("/escape", escape)       // 设置转义
   err := http.ListenAndServe(":9090", nil) // 设置监听的端口
   if err != nil {
      log.Fatal("ListenAndServe: ", err)
   }
}

2 测试结果

go web 预防跨站脚本的实现方式

3 说明

当使用 html/template 这个包时，如果使用 template.HTML 函数，也可以正常显示，不使用 template.HTML 函数，转义显示。

以上就是go web 预防跨站脚本的详细内容，更多关于go web 预防跨站的资料请关注三水点靠木其它相关文章！

go web 预防跨站脚本的实现方式

- Author -

chengqiuming

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Golang 相关文章推荐

为什么不建议在go项目中使用init()

Apr 12 Golang

Go语言中的UTF-8实现

Apr 26 Golang

golang 实现两个结构体复制字段

Apr 28 Golang

解决Golang time.Parse和time.Format的时区问题

Apr 29 Golang

对Golang中的FORM相关字段理解

May 02 Golang

解决goland 导入项目后import里的包报红问题

May 06 Golang

Go 在 MongoDB 中常用查询与修改的操作

May 07 Golang

GoLang中生成UUID唯一标识的实现

May 08 Golang

go xorm框架的使用

May 22 Golang

Go语言空白表示符_的实例用法

Jul 04 Golang

Go Plugins插件的实现方式

Aug 07 Golang

Golang生成Excel文档的方法步骤

Go timer如何调度

浅谈Golang 切片（slice）扩容机制的原理

Jun 09 #Golang

Golang中异常处理机制详解

Go语言实现Snowflake雪花算法

Jun 08 #Golang

go语言中http超时引发的事故解决

Jun 02 #Golang

Golang二维数组的使用方式

May 28 #Golang

You might like

PHP使用函数用法详解

2018/09/30 PHP

TFDN图片播放器不错自动播放

2006/10/03 Javascript

JS实现悬浮移动窗口(悬浮广告)的特效

2013/03/12 Javascript

jQuery判断一个元素是否可见的方法

2015/06/05 Javascript

jQuery实现的经典滑动门效果

2015/09/22 Javascript

js面向对象之常见创建对象的几种方式(工厂模式、构造函数模式、原型模式)

2015/11/09 Javascript

微信小程序（应用号）简单实例应用及实例详解

2016/09/26 Javascript

jQuery File Upload文件上传插件使用详解

2016/12/06 Javascript

AngularJS使用ng-repeat和ng-if实现数据的删选显示效果示例【适用于表单数据的显示】

2016/12/13 Javascript

JS中绑定事件顺序（事件冒泡与事件捕获区别）

2017/01/24 Javascript

浅谈regExp的test方法取得的值变化的原因及处理方法

2017/03/01 Javascript

详解升级react-router 4 踩坑指南

2017/08/14 Javascript

使用Bootstrap4 + Vue2实现分页查询的示例代码

2017/12/21 Javascript

浅谈Vue.js 中的 v-on 事件指令的使用

2018/11/25 Javascript

vue路由守卫+登录态管理实例分析

2019/05/21 Javascript

彻底搞懂并解决vue-cli4中图片显示的问题实现

2020/08/31 Javascript

JavaScript中的Proxy对象

2020/11/27 Javascript

[01:42:49]DOTA2-DPC中国联赛正赛 iG vs PSG.LGD BO3 第一场 2月26日

2021/03/11 DOTA

Python httplib，smtplib使用方法

2008/09/06 Python

对pandas中时间窗函数rolling的使用详解

2018/11/28 Python

Django ManyToManyField 跨越中间表查询的方法

2018/12/18 Python

Pandas中DataFrame基本函数整理(小结)

2020/07/20 Python

python中判断数字是否为质数的实例讲解

2020/12/06 Python

浅谈HTML5 FileReader分布读取文件以及其方法简介

2017/11/09 HTML / CSS

Clearly澳大利亚：购买眼镜、太阳镜和隐形眼镜

2018/04/26 全球购物

UNIX文件系统分类

2014/11/11 面试题

shell程序如何生命变量？shell变量是弱变量吗？

2014/11/10 面试题

2014村务公开实施方案

2014/02/25 职场文书

求职面试个人自我评价

2014/02/28 职场文书

中学生运动会通讯稿大全

2014/09/18 职场文书

法学专业求职信范文

2015/03/19 职场文书

2015年大班保育员工作总结

2015/05/18 职场文书

放假通知怎么写

2015/08/18 职场文书

《画家和牧童》教学反思

2016/02/17 职场文书

python入门之算法学习

2021/04/22 Python

详解MySQL的Seconds_Behind_Master

2021/05/18 MySQL

go web 预防跨站脚本的实现方式

一 点睛

二 先看一个转义的例子

三 使用 text/template 进行处理

四 使用 html/template 进行处理

一点睛

二先看一个转义的例子

三使用 text/template 进行处理

四使用 html/template 进行处理