Golanghtml/template防XSS安全指南

Go语言的`html/template`包通过智能的上下文感知自动转义机制，为开发者提供了开箱即用的XSS防护能力——它能根据输出位置（如HTML文本、属性、JavaScript字符串或URL）自动应用最严格的对应转义规则，无需手动调用转义函数；只要坚持将用户输入始终作为普通字符串传入模板，严格限制`template.HTML`等绕过机制仅用于明确可信的HTML内容，就能在几乎不增加开发负担的前提下，高效抵御绝大多数跨站脚本攻击。

Go 的 html/template 包在设计上就考虑了安全问题，能自动对输出内容进行上下文相关的转义，有效防止 XSS（跨站脚本）攻击。只要正确使用，大多数情况下无需手动处理转义。

自动转义机制

html/template 会根据输出所处的 HTML 上下文（如文本、属性、JavaScript、URL 等）自动应用相应的转义规则。这意味着你不需要手动调用类似 html.EscapeString() 的函数。

• 在 HTML 标签内输出：特殊字符如 <、>、& 会被转义为实体
• 在双引号属性中：除了 HTML 转义，还会处理 " 和 '
• 在 JavaScript 字符串中：会避免 JS 表达式注入
• 在 URL 中：会对参数进行 url.QueryEscape 处理

基本使用示例

下面是一个防止 XSS 的典型用法：

package main

import (
    "html/template"
    "log"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    data := struct {
        Name string
    }{
        Name: "<script>alert('xss')</script>",
    }

    tmpl := `<p>你好，{{.Name}}</p>`
    t, err := template.New("xss").Parse(tmpl)
    if err != nil {
        log.Fatal(err)
    }
    t.Execute(w, data)
}

输出结果是：

<p>你好，&lt;script&gt;alert('xss')&lt;/script&gt;</p>

原始的 script 标签被转义，不会执行。

避免破坏转义：不要滥用 template.HTML

只有当你**明确信任某段内容**，且希望将其作为原始 HTML 输出时，才应使用 template.HTML 类型。否则会打开 XSS 漏洞。

data := struct {
    Content template.HTML
}{
    Content: template.HTML(r.FormValue("user_input")), // 危险！用户输入直接转为 HTML
}

这会让用户输入的脚本直接渲染到页面，造成 XSS。

• 始终以字符串形式传递用户输入
• 仅对经过严格过滤或服务端生成的可信 HTML 使用 template.HTML
• 必要时可结合使用 HTML 净化库（如 bluemonday）预处理富文本

不同上下文中的安全输出

模板引擎能识别以下上下文并自动转义：

• {{.}} 在
  ...
  中 → HTML 转义
• <input value="{{.}}"> → 属性转义
• → URL 查询转义
• → JS 字符串转义

确保变量始终在正确的语法位置使用，引擎才能正确推断上下文。