Mengapakah enjin templat HTML Go mengeluarkan 'ZgotmplZ' dan bagaimana saya boleh menghalangnya?-Golang-php.cn

Jadual Kandungan

Mengapa Go Output "ZgotmplZ" dalam Templat HTML?

Menyelesaikan Isu "ZgotmplZ"

Coretan Kod Kemas Kini

Fungsi Tambahan untuk Meningkatkan Keselamatan

Rumah

pembangunan bahagian belakang

Golang

Mengapakah enjin templat HTML Go mengeluarkan 'ZgotmplZ' dan bagaimana saya boleh menghalangnya?

Jan 03, 2025 am 10:26 AM

Why does Go's HTML template engine output

Mengapa Go Output "ZgotmplZ" dalam Templat HTML?

Apabila memaparkan HTML menggunakan templat Go, menemui "ZgotmplZ" dalam output menunjukkan isu keselamatan. Ia timbul apabila kandungan yang disediakan pengguna yang berpotensi tidak selamat mencapai URL atau konteks CSS pada masa jalan, menimbulkan risiko melarikan diri petikan dan menyebabkan kelemahan skrip merentas tapak (XSS).

Dalam coretan kod yang disediakan, atribut HTML "selected" ditetapkan menggunakan fungsi "printSelected", yang mengembalikan rentetan dan bukannya templat.Jenis HTML. Menggunakan rentetan secara langsung dalam konteks HTML boleh menyebabkan serangan XSS dan pelanggaran data.

Menyelesaikan Isu "ZgotmplZ"

Untuk mengurangkan risiko keselamatan ini, adalah penting untuk menukar rentetan yang tidak dipercayai secara eksplisit kepada templat yang sesuai taip berdasarkan konteks ia digunakan. Templat Go menyediakan fungsi "selamat" untuk menukar rentetan kepada templat.HTML, memastikan kandungannya dianggap sebagai HTML yang selamat.

Coretan Kod Kemas Kini

funcMap := template.FuncMap{
    // Convert a string to a template.HTMLAttr instead of a string
    "attr": func(s string) template.HTMLAttr {
        return template.HTMLAttr(s)
    },
    "safe": func(s string) template.HTML {
        return template.HTML(s)
    },
}

template.Must(template.New("Template").Funcs(funcMap).Parse(`
    &lt;option {{.attr | attr}}&gt;&gt;test&lt;/option&gt;
    {{.html | safe}}
`)).Execute(os.Stdout, map[string]string{
    "attr": `selected=&amp;quot;selected&amp;quot;`,
    "html": `&lt;option selected=&amp;quot;selected&amp;quot;&gt;option&lt;/option&gt;`,
}))

Salin selepas log masuk

Fungsi Tambahan untuk Meningkatkan Keselamatan

Pertimbangkan untuk menentukan fungsi tambahan untuk memudahkan operasi templat selamat:

funcMap["css"]: Menukar rentetan kepada templat.CSS
funcMap["js"]: Menukar rentetan kepada templat.JS
funcMap["jss"]: Menukar rentetan kepada templat.JSStr
funcMap ["url"]: Menukar rentetan kepada template.URL

Dengan mengikuti amalan terbaik ini, anda boleh memastikan keselamatan dan integriti templat HTML anda, mengurangkan risiko serangan XSS dan mengekalkan keselamatan aplikasi web.

Atas ialah kandungan terperinci Mengapakah enjin templat HTML Go mengeluarkan 'ZgotmplZ' dan bagaimana saya boleh menghalangnya?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan Laman Web ini

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn