对xss的防护方法结合在两点上输入和输出,一是严格控制用户表单的输入,验证所有输入数据,有效监测到攻击,go web表单中涉及到.二是对所有输出的数据进行处理,防止已成功注入的脚本在浏览器端运行.
在Go中的可以使用html/template包过滤HTML标签
fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //输出到服务器端
fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password")))
template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
HTMLEscapeString(s string)string //会把输入s值转义后返回字符串
HTMLEscape(w io.Writer,b []byte) //把b转义后写入w,就是输出到客户端
HTMLEscaper.......这个是多参数转义,返回字符串
原文:https://www.cnblogs.com/esiarp/p/9001645.html