欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

go web 预防跨站脚本的实现方式

程序员文章站 2022-06-25 12:41:58
一点睛现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(cross sit...

一 点睛

现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,web 应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(cross site scripting, 安全专家们通常将其缩写成 xss)的威胁,而静态站点则完全不受其影响。

攻击者通常会在有漏洞的程序中插入 javascript、vbscript、 activex 或 flash 以欺骗用户。一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取或污染 cookie 和植入恶意广告等。

对 xss 最佳的防护应该结合以下两种方式。

1 验证所有输入数据,有效检测攻击。

2 对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行。

针对第2种方式,go 是怎样预防的呢?go 的 html/template 包中带有下面几个函数可以帮助转义。

func htmlescape(w io.writer, b []byte) // 把 b 进行转义之后写到 w

func htmlescapestring(s string) string // 转义 s 之后返回结果字符串

func htmlescaper(args ...interface{}) string // 支持多个参数一起转义,返回结果字符串

二 先看一个转义的例子

 1 代码

package main
 
import (
   "fmt"
   "html/template"
   "log"
   "net/http"
)
 
// 登录逻辑
func login(w http.responsewriter, r *http.request) {
   fmt.println("method:", r.method) // 获取请求的方法
   if r.method == "get" {
      t, _ := template.parsefiles("src\\goweb\\demo3\\login.html") // 解析模板
      t.execute(w, nil)                                            // 渲染模板,并发送给前端
   } else {
      // 请求的是登陆数据,那么执行登陆的逻辑判断
      // 解析表单
      r.parseform()
      fmt.println("username:", r.form["username"])
      fmt.println("password:", r.form["password"])
      template.htmlescape(w, []byte(r.form.get("username"))) //输出到客户端
   }
}
 
func main() {
   http.handlefunc("/login", login)         // 设置访问的路由
   err := http.listenandserve(":9090", nil) // 设置监听的端口
   if err != nil {
      log.fatal("listenandserve: ", err)
   }
}

2 测试

如果在浏览器输入的 username 是 <script>alert()</script>,在浏览器上将看到下面内容。

go web 预防跨站脚本的实现方式

3 说明

go 的 html/template 包默认帮忙过滤了 html 标签,将其进行了转义。

4 问题引出

如果要正常输出<script>alert()</script>,怎样处理呢?text/template 可以帮忙进行处理。

三 使用 text/template 进行处理

1 代码

package main
 
import (
   "log"
   "net/http"
   "text/template"
)
 
// 转义测试
func escape(w http.responsewriter, r *http.request) {
   // 正常显示
   t, _ := template.new("foo").parse(`{{define "t"}}hello1, {{.}}!{{end}}`)
   t.executetemplate(w, "t", "<script>alert('you have been pwned')</script>")
}
 
func main() {
   http.handlefunc("/escape", escape)       // 设置转义
   err := http.listenandserve(":9090", nil) // 设置监听的端口
   if err != nil {
      log.fatal("listenandserve: ", err)
   }
}

2 测试

go web 预防跨站脚本的实现方式

3 说明

当使用 text/template 这个包时,可以正常显示。

四 使用 html/template 进行处理

1 代码

package main
 
import (
   "html/template"
   "log"
   "net/http"
)
 
// 转义测试
func escape(w http.responsewriter, r *http.request) {
   // 转义显示
   t, _ := template.new("foo").parse(`{{define "t"}}hello1, {{.}}!{{end}}`)
   t.executetemplate(w, "t", "<script>alert('you have been pwned')</script>")
    // 正常显示
   t, _ = template.new("foo").parse(`{{define "t"}}hello2, {{.}}!{{end}}`)
   t.executetemplate(w, "t", template.html("<script>alert('you have been pwned')</script>"))
}
 
func main() {
   http.handlefunc("/escape", escape)       // 设置转义
   err := http.listenandserve(":9090", nil) // 设置监听的端口
   if err != nil {
      log.fatal("listenandserve: ", err)
   }
}

2 测试结果

go web 预防跨站脚本的实现方式

3 说明

当使用 html/template 这个包时,如果使用 template.html 函数,也可以正常显示,不使用 template.html 函数,转义显示。

以上就是go web 预防跨站脚本的详细内容,更多关于go web 预防跨站的资料请关注其它相关文章!

相关标签: go web 跨站