go web 预防跨站脚本的实现方式
来源:脚本之家
时间:2022-12-31 08:47:30 129浏览 收藏
知识点掌握了,还需要不断练习才能熟练运用。下面golang学习网给大家带来一个Golang开发实战,手把手教大家学习《go web 预防跨站脚本的实现方式》,在实现功能的过程中也带大家重新温习相关知识点,温故而知新,回头看看说不定又有不一样的感悟!
一 点睛
现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成 XSS)的威胁,而静态站点则完全不受其影响。
攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX 或 Flash 以欺骗用户。一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取或污染 cookie 和植入恶意广告等。
对 XSS 最佳的防护应该结合以下两种方式。
1 验证所有输入数据,有效检测攻击。
2 对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行。
针对第2种方式,Go 是怎样预防的呢?Go 的 html/template 包中带有下面几个函数可以帮助转义。
func HTMLEscape(w io.Writer, b []byte) // 把 b 进行转义之后写到 w
func HTMLEscapeString(s string) string // 转义 s 之后返回结果字符串
func HTMLEscaper(args ...interface{}) string // 支持多个参数一起转义,返回结果字符串
二 先看一个转义的例子
1 代码
package main import ( "fmt" "html/template" "log" "net/http" ) // 登录逻辑 func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) // 获取请求的方法 if r.Method == "GET" { t, _ := template.ParseFiles("src\\goweb\\demo3\\login.html") // 解析模板 t.Execute(w, nil) // 渲染模板,并发送给前端 } else { // 请求的是登陆数据,那么执行登陆的逻辑判断 // 解析表单 r.ParseForm() fmt.Println("username:", r.Form["username"]) fmt.Println("password:", r.Form["password"]) template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端 } } func main() { http.HandleFunc("/login", login) // 设置访问的路由 err := http.ListenAndServe(":9090", nil) // 设置监听的端口 if err != nil { log.Fatal("ListenAndServe: ", err) } }
2 测试
如果在浏览器输入的 username 是 ,在浏览器上将看到下面内容。
3 说明
Go 的 html/template 包默认帮忙过滤了 html 标签,将其进行了转义。
4 问题引出
如果要正常输出,怎样处理呢?text/template 可以帮忙进行处理。
三 使用 text/template 进行处理
1 代码
package main import ( "log" "net/http" "text/template" ) // 转义测试 func escape(w http.ResponseWriter, r *http.Request) { // 正常显示 t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`) t.ExecuteTemplate(w, "T", "") } func main() { http.HandleFunc("/escape", escape) // 设置转义 err := http.ListenAndServe(":9090", nil) // 设置监听的端口 if err != nil { log.Fatal("ListenAndServe: ", err) } }
2 测试
3 说明
当使用 text/template 这个包时,可以正常显示。
四 使用 html/template 进行处理
1 代码
package main import ( "html/template" "log" "net/http" ) // 转义测试 func escape(w http.ResponseWriter, r *http.Request) { // 转义显示 t, _ := template.New("foo").Parse(`{{define "T"}}Hello1, {{.}}!{{end}}`) t.ExecuteTemplate(w, "T", "") // 正常显示 t, _ = template.New("foo").Parse(`{{define "T"}}Hello2, {{.}}!{{end}}`) t.ExecuteTemplate(w, "T", template.HTML("")) } func main() { http.HandleFunc("/escape", escape) // 设置转义 err := http.ListenAndServe(":9090", nil) // 设置监听的端口 if err != nil { log.Fatal("ListenAndServe: ", err) } }
2 测试结果
3 说明
当使用 html/template 这个包时,如果使用 template.HTML 函数,也可以正常显示,不使用 template.HTML 函数,转义显示。
今天带大家了解了goweb、跨站的相关知识,希望对你有所帮助;关于Golang的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~
-
377 收藏
-
384 收藏
-
246 收藏
-
110 收藏
-
210 收藏
-
108 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 542次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 507次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 497次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 484次学习