預防跨站腳本 · Go Web 編程

{% raw %} # 4.3 預防跨站腳本現在的網站包含大量的動態內容以提高用戶體驗，比過去要復雜得多。所謂動態內容，就是根據用戶環境和需要，Web應用程序能夠輸出相應的內容。動態站點會受到一種名為“跨站腳本攻擊”（Cross Site Scripting, 安全專家們通常將其縮寫成 XSS）的威脅，而靜態站點則完全不受其影響。攻擊者通常會在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺騙用戶。一旦得手，他們可以盜取用戶帳戶信息，修改用戶設置，盜取/污染cookie和植入惡意廣告等。對XSS最佳的防護應該結合以下兩種方法：一是驗證所有輸入數據，有效檢測攻擊(這個我們前面小節已經有過介紹);另一個是對所有輸出數據進行適當的處理，以防止任何已成功注入的腳本在瀏覽器端運行。那么Go里面是怎么做這個有效防護的呢？Go的html/template里面帶有下面幾個函數可以幫你轉義 - func HTMLEscape(w io.Writer, b []byte) //把b進行轉義之后寫到w - func HTMLEscapeString(s string) string //轉義s之后返回結果字符串 - func HTMLEscaper(args ...interface{}) string //支持多個參數一起轉義，返回結果字符串我們看4.1小節的例子 fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //輸出到服務器端 fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password"))) template.HTMLEscape(w, []byte(r.Form.Get("username"))) //輸出到客戶端如果我們輸入的username是`<script>alert()</script>`,那么我們可以在瀏覽器上面看到輸出如下所示： ![](images/4.3.escape.png?raw=true) 圖4.3 Javascript過濾之后的輸出 Go的html/template包默認幫你過濾了html標簽，但是有時候你只想要輸出這個`<script>alert()</script>`看起來正常的信息，該怎么處理？請使用text/template。請看下面的例子： import "text/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>") 輸出 Hello, <script>alert('you have been pwned')</script>! 或者使用template.HTML類型 import "html/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", template.HTML("<script>alert('you have been pwned')</script>")) 輸出 Hello, <script>alert('you have been pwned')</script>! 轉換成`template.HTML`后，變量的內容也不會被轉義轉義的例子： import "html/template" ... t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`) err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>") 轉義之后的輸出： Hello, <script>alert('you have been pwned')</script>! ## links * [目錄](<preface.md>) * 上一節: [驗證的輸入](<04.2.md>) * 下一節: [防止多次遞交表單](<04.4.md>) {% endraw %}