Golanghtml/template防XSS教程

大家好，今天本人给大家带来文章《Golang html/template防XSS指南》，文中内容主要涉及到，如果你对Golang方面的知识点感兴趣，那就请各位朋友继续看下去吧~希望能真正帮到你们，谢谢！

Go的html/template包能自动转义输出内容，防止XSS攻击。根据上下文（文本、属性、JS、URL等）自动应用转义规则，无需手动调用EscapeString。例如在HTML标签或属性中，特殊字符如<、>、"、'会被转义为实体；在JS字符串或URL中也会相应处理。使用时应始终以字符串传递用户输入，避免滥用template.HTML，仅对可信HTML使用该类型，否则可能导致XSS漏洞。只要正确使用，不随意绕过转义机制，即可有效防御大多数XSS风险。

Go 的 html/template 包在设计上就考虑了安全问题，能自动对输出内容进行上下文相关的转义，有效防止 XSS（跨站脚本）攻击。只要正确使用，大多数情况下无需手动处理转义。

自动转义机制

html/template 会根据输出所处的 HTML 上下文（如文本、属性、JavaScript、URL 等）自动应用相应的转义规则。这意味着你不需要手动调用类似 html.EscapeString() 的函数。

• 在 HTML 标签内输出：特殊字符如 <、>、& 会被转义为实体
• 在双引号属性中：除了 HTML 转义，还会处理 " 和 '
• 在 JavaScript 字符串中：会避免 JS 表达式注入
• 在 URL 中：会对参数进行 url.QueryEscape 处理

基本使用示例

下面是一个防止 XSS 的典型用法：

package main

import (
    "html/template"
    "log"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    data := struct {
        Name string
    }{
        Name: "<script>alert('xss')</script>",
    }

    tmpl := `<p>你好，{{.Name}}</p>`
    t, err := template.New("xss").Parse(tmpl)
    if err != nil {
        log.Fatal(err)
    }
    t.Execute(w, data)
}

输出结果是：

<p>你好，&lt;script&gt;alert('xss')&lt;/script&gt;</p>

原始的 script 标签被转义，不会执行。

避免破坏转义：不要滥用 template.HTML

只有当你**明确信任某段内容**，且希望将其作为原始 HTML 输出时，才应使用 template.HTML 类型。否则会打开 XSS 漏洞。

data := struct {
    Content template.HTML
}{
    Content: template.HTML(r.FormValue("user_input")), // 危险！用户输入直接转为 HTML
}

这会让用户输入的脚本直接渲染到页面，造成 XSS。

• 始终以字符串形式传递用户输入
• 仅对经过严格过滤或服务端生成的可信 HTML 使用 template.HTML
• 必要时可结合使用 HTML 净化库（如 bluemonday）预处理富文本

不同上下文中的安全输出

模板引擎能识别以下上下文并自动转义：

• {{.}} 在
  ...
  中 → HTML 转义
• <input value="{{.}}"> → 属性转义
• → URL 查询转义
• → JS 字符串转义

确保变量始终在正确的语法位置使用，引擎才能正确推断上下文。