HTML 템플릿에서 개행 문자를 ``로 안전하게 바꾸는 방법은 무엇입니까?

줄바꿈을
로 바꾸기 HTML 템플릿에서

HTML 템플릿에서 줄바꿈을 표시하려면 몇 가지 고려 사항이 필요합니다. 줄 바꿈이 템플릿에 의해
로 이스케이프되어 줄 바꿈 대신 리터럴 HTML 태그로 표시될 수 있기 때문입니다. 이는 개행 문자가 포함된 텍스트 파일을 로드하고 이를 HTML 템플릿에 전달할 때 문제를 야기합니다.

일반적으로 제안되는 솔루션은 개행 문자(n)를
로드된 문자열에서. 그러나 이 접근 방식은 공격자가 의 " 문자를 통해 악성 코드를 주입하여 XSS 보호를 회피할 수 있으므로 보안 취약성을 초래할 수 있습니다.

한 가지 대안은 template.HTMLEscape()를 활용하여 줄 바꿈을
로 대체하기 전에 텍스트를 삭제하세요. 이 방법은 잠재적으로 위험한 문자를 피하여 템플릿 데이터의 안전을 보장합니다.

다음은 이 기술을 보여주는 예입니다.

<code class="go">import (
    "html/template"
    "os"
    "strings"
)

const page = `<!DOCTYPE html>\n<html><head></head><body><p>{{.}}</p></body></html>`

const text = `first line
<script>dangerous</script>
last line`

func main() {
    t := template.Must(template.New("page").Parse(page))
    safe := template.HTMLEscapeString(text)
    safe = strings.Replace(safe, "\n", "<br>", -1)
    t.Execute(os.Stdout, template.HTML(safe))
}</code>

실행 시 출력은 다음과 같습니다.

<code class="html"><!DOCTYPE html>
<html>
  <head>
  </head>
  <body>
    <p>first line<br><script>dangerous</script><br>last line</p>
  </body>
</html></code>

요약하자면, 정리된 텍스트를 HTML 템플릿에 전달하면 줄 바꿈을 올바르게 표시하는 동시에 XSS 취약점을 효과적으로 방지할 수 있습니다.

위 내용은 HTML 템플릿에서 개행 문자를 ``로 안전하게 바꾸는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!