登录
首页 >  Golang >  Go问答

martini框架中为什么向http头添加一个header就能防范xss攻击?

来源:SegmentFault

时间:2023-01-18 17:17:32 213浏览 收藏

知识点掌握了,还需要不断练习才能熟练运用。下面golang学习网给大家带来一个Golang开发实战,手把手教大家学习《martini框架中为什么向http头添加一个header就能防范xss攻击?》,在实现功能的过程中也带大家重新温习相关知识点,温故而知新,回头看看说不定又有不一样的感悟!

问题内容

正在用Golang写一个简单的web框架,于是读了一下martini的源码,关于安全部分仔细看了看。martini框架有一个中间件用来提供安全防护,其中关于xss防御的部分只有一个函数,函数内容如下:

Golang
func applyXSS(opt Options, res http.ResponseWriter, req *http.Request) {
    if opt.BrowserXssFilter {
        res.Header().Add(xssProtectionHeader, xssProtectionValue)
    }
}

两个参数定义如下:

Golang
    xssProtectionHeader = "X-XSS-Protection"
    xssProtectionValue  = "1; mode=block"

这是什么意思?为什么添加这个头就可以防御xss攻击了?

正确答案

这只是让浏览器使用xss过滤器(比如不让URL中的东西被执行之类的。。),阻止一些比较明显的xss
然而可能被绕过,不能阻止所有类型的xss

http://drops.wooyun.org/tips/159
http://drops.wooyun.org/tips/1166

今天带大家了解了Web、go、xss的相关知识,希望对你有所帮助;关于Golang的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~

golang Web go xss
声明:本文转载于:SegmentFault 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>
评论列表