go web 预防跨站脚本的实现方式
一 点睛
现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成 XSS)的威胁,而静态站点则完全不受其影响。
攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX 或 Flash 以欺骗用户。一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取或污染 cookie 和植入恶意广告等。
对 XSS 最佳的防护应该结合以下两种方式。
1 验证所有输入数据,有效检测攻击。
2 对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行。
针对第2种方式,Go 是怎样预防的呢?Go 的 html/template 包中带有下面几个函数可以帮助转义。
func HTMLEscape(w io.Writer, b []byte) // 把 b 进行转义之后写到 w
func HTMLEscapeString(s string) string // 转义 s 之后返回结果字符串
func HTMLEscaper(args ...interface{}) string // 支持多个参数一起转义,返回结果字符串
二 先看一个转义的例子
1 代码
package main
import (
"fmt"
"html/template"
"log"
"net/http"
)
// 登录逻辑
func login(w http.ResponseWriter, r *http.Request) {
fmt.Println("method:", r.Method) // 获取请求的方法
if r.Method == "GET" {
t, _ := template.ParseFiles("src\\goweb\\demo3\\login.html") // 解析模板
t.Execute(w, nil) // 渲染模板,并发送给前端
} else {
// 请求的是登陆数据,那么执行登陆的逻辑判断
// 解析表单
r.ParseForm()
fmt.Println("username:", r.Form["username"])
fmt.Println("password:", r.Form["password"])
template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
}
}
func main() {
http.HandleFunc("/login", login) // 设置访问的路由
err := http.ListenAndServe(":9090", nil) // 设置监听的端口
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
2 测试
如果在浏览器输入的 username 是 <script>alert()</script>,在浏览器上将看到下面内容。
3 说明
Go 的 html/template 包默认帮忙过滤了 html 标签,将其进行了转义。
4 问题引出
如果要正常输出<script>alert()</script>,怎样处理呢?text/template 可以帮忙进行处理。
三 使用 text/template 进行处理
1 代码
package main
import (
"log"
"net/http"
"text/template"
)
// 转义测试
func escape(w http.ResponseWriter, r *http.Request) {
// 正常显示
t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`)
t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
}
func main() {
http.HandleFunc("/escape", escape) // 设置转义
err := http.ListenAndServe(":9090", nil) // 设置监听的端口
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
2 测试
3 说明
当使用 text/template 这个包时,可以正常显示。
四 使用 html/template 进行处理
1 代码
package main
import (
"html/template"
"log"
"net/http"
)
// 转义测试
func escape(w http.ResponseWriter, r *http.Request) {
// 转义显示
t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`)
t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
// 正常显示
t, _ = template.New("foo").Parse(`{{define "T"}}Hello2, {{.}}!{{end}}`)
t.ExecuteTemplate(w, "T", template.HTML("<script>alert('you have been pwned')</script>"))
}
func main() {
http.HandleFunc("/escape", escape) // 设置转义
err := http.ListenAndServe(":9090", nil) // 设置监听的端口
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
2 测试结果
3 说明
当使用 html/template 这个包时,如果使用 template.HTML 函数,也可以正常显示,不使用 template.HTML 函数,转义显示。
以上就是go web 预防跨站脚本的详细内容,更多关于go web 预防跨站的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要为大家介绍了Go语言实现二分查找方法示例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-12-12![golang:json 反序列化的[]和nil操作](//img.jbzj.com/images/xgimg/bcimg1.png)
这篇文章主要介绍了golang:json 反序列化的[]和nil操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-12-12
这篇文章主要给大家介绍了关于Go实现mongodb增删改查工具类的相关资料,MongoDB是一个NoSQL数据库,它提供了灵活的文档存储模型以及强大的查询和操作功能,需要的朋友可以参考下2023-10-10
与大部分语言一致,Go语言中的函数与方法定义与其他语言基本一致,但也有一定的差别。本文将通过示例详细讲讲Go语言中函数与方法的用法,感兴趣的可以学习一下2022-07-07
最近想学习一下golang,自己之前一直把环境全部安装在docker上,所以这次也想把golang的环境安装在docker上,下面这篇文章主要给大家介绍了关于本地使用Docker搭建go开发环境的相关资料,需要的朋友可以参考下2022-07-07
Golang中空的切片转化成 JSON 后变为 null 问题的解决方案
在 Golang 中,经常需要将其他类型(例如 slice、map、struct 等类型)的数据转化为 JSON 格式,有时候转化的结果并不是预期中的,例如将一个空的切片转化为 JSON 时,会变成"null",所以本文将给大家介绍一下解决方法,需要的朋友可以参考下2023-09-09
这篇文章主要为大家详细介绍了Golang中基础语法的相关知识,文中的示例代码讲解详细,对我们学习Golang有一定的帮助,感兴趣的可以了解一下2023-03-03
这篇文章主要为大家介绍了golang根据生日计算星座和属相的示例代码,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-07-07
本文主要介绍了详解Golang并发控制的三种方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-06-06
这篇文章主要介绍了go本地环境配置及vscode go插件安装的详细教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-05-05
![golang:json 反序列化的[]和nil操作](http://img.jbzj.com/images/xgimg/bcimg1.png)
最新评论