GolangHTML模板XSS防护指南

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《Golang HTML模板防XSS安全指南》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

template包默认对{{.}}自动转义HTML，但显式使用html函数或template.HTML类型时跳过转义；安全渲染需先用bluemonday清洗再转template.HTML，且必须统一用html/template、设置正确Content-Type头。

template 包默认不自动转义 HTML 字符？

不是默认不转义，而是 template 包严格区分「普通文本插值」和「HTML 插值」——只有用 {{.}} 插入字符串时才会自动 HTML 转义；一旦你显式调用 html 函数（比如 {{.Content | html}}），或使用 template.HTML 类型，它就跳过转义，直接输出原始字符。

这是设计使然，不是 bug。但恰恰是这里最容易出 XSS：开发者误以为“用了 template 就安全”，结果把用户输入塞进 template.HTML 或加了 | safeHtml（实际是 | html）就放行了。

• 常见错误现象：template: "xss":1:23: executing "xss" at <.userinput>: can't evaluate field UserInput in type string 这类报错往往是因为你试图对未导出字段做 HTML 渲染，但更危险的是没报错却渲染了恶意脚本
• 真实使用场景：富文本编辑器内容、评论区带格式的回复、后台 CMS 的页面片段 —— 这些地方常被诱导“必须保留 HTML”，于是开发者手动绕过转义
• template.HTML 是一个类型别名，不是函数，它本身不校验内容；只要类型匹配，template 就原样输出，不做任何过滤或清理

如何安全地渲染用户提交的 HTML 片段？

别用 template 包直接渲染不可信 HTML。它不是 HTML sanitizer，也不带白名单机制。真要渲染，得先清洗，再转成 template.HTML。

推荐组合：用 github.com/microcosm-cc/bluemonday 做预处理，再交给 template：

import "github.com/microcosm-cc/bluemonday"

policy := bluemonday.UGCPolicy() // 默认只放行常见富文本标签
cleaned := policy.Sanitize(userInput) // 返回纯字符串，无标签则为空
t.Execute(w, map[string]interface{}{
    "SafeHTML": template.HTML(cleaned),
})

• 不要自己写正则删 script 标签——正则无法可靠解析 HTML，绕过方式太多
• bluemonday.UGCPolicy() 允许

  、、（且自动限制协议为 http/https），但禁用 onerror、javascript: 等危险属性和协议

• 如果业务允许更宽松，可用 bluemonday.StrictPolicy()，但切勿用 bluemonday.NilPolicy() —— 它等价于裸输出

为什么 text/template 和 html/template 不能混用？