現在的網站包含大量的動態內容以提高用戶體驗，比過去要復雜得多。所謂動態內容，就是根據用戶環境和需要，Web應用程序能夠輸出相應的內容。動態站點會受到一種名為“跨站腳本攻擊”（Cross Site Scripting, 安全專家們通常將其縮寫成 XSS）的威脅，而靜態站點則完全不受其影響。 攻擊者通常會在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺騙用戶。一旦得手，他們可以盜取用戶帳戶信息，修改用戶設置，盜取/污染cookie和植入惡意廣告等。 對XSS最佳的防護應該結合以下兩種方法：一是驗證所有輸入數據，有效檢測攻擊(這個我們前面小節已經有過介紹);另一個是對所有輸出數據進行適當的處理，以防止任何已成功注入的腳本在瀏覽器端運行。 那么Go里面是怎么做這個有效防護的呢？Go的html/template里面帶有下面幾個函數可以幫你轉義 * func HTMLEscape(w io.Writer, b []byte) //把b進行轉義之后寫到w * func HTMLEscapeString(s string) string //轉義s之后返回結果字符串 * func HTMLEscaper(args ...interface{}) string //支持多個參數一起轉義，返回結果字符串 我們看4.1小節的例子 ~~~ fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //輸出到服務器端 fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password"))) template.HTMLEscape(w, []byte(r.Form.Get("username"))) //輸出到客戶端 ~~~ 如果我們輸入的username是`alert()`,那么我們可以在瀏覽器上面看到輸出如下所示： [](https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/images/4.3.escape.png?raw=true) 圖4.3 Javascript過濾之后的輸出 Go的html/template包默認幫你過濾了html標簽，但是有時候你只想要輸出這個`alert()`看起來正常的信息，該怎么處理？請使用text/template。請看下面的例子： ~~~ import "text/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>") ~~~ 輸出 ~~~ Hello, <script>alert('you have been pwned')</script>! ~~~ 或者使用template.HTML類型 ~~~ import "html/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", template.HTML("<script>alert('you have been pwned')</script>")) ~~~ 輸出 ~~~ Hello, <script>alert('you have been pwned')</script>! ~~~ 轉換成`template.HTML`后，變量的內容也不會被轉義 轉義的例子： ~~~ import "html/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>") ~~~ 轉義之后的輸出： ~~~ Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;! ~~~