doudi8519 2012-04-05 08:38 采纳率: 100%
浏览 219
已采纳

白名单标签免于使用Go的html / template进行转义

Pass a []byte into a template as the body of a message post on a forum-style web app. In the template, call a method to convert to string and along the way, switch out all newlines for line breaks:

<p>{{.BodyString}}</p>

...

func (p *Post) BodyString() string {
    nl := regexp.MustCompile(`
`)
    return nl.ReplaceAllString(string(p.Body), `<br>`)
}

What you'll end up with:

paragraphs <br> <br>in <br> <br>this <br> <br>post

I don't want to pass the entire post in with HTML(p.Body), as it represents third party data from potentially untrustworthy sources. Is there a way to whitelist only some tags for formatting purposes using the vanilla Go1 template package?

  • 写回答

2条回答 默认 最新

  • dongping2023 2012-04-05 17:56
    关注

    I do think you want to parse the HTML. The HTML parser in exp/html was deemed incomplete and so removed from Go 1, although the exp tree is still in the Go source tree and can be accessed by weekly tag, for example. I don't know exactly what is incomplete. I used it for a simple task once and it met my needs.

    Also of course, check the dashboard and see related SO post, Any smart method to get exp/html back after Go1?, mostly for the recomendation of http://code.google.com/p/go-html-transform/

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • Go代码规范
    2021-10-26 19:56
    「已注销」的博客 Go语言-Web应用程序安全编码实践是为了给任何使用Go进行编程与Web开发的人员提供指导。 这本书是Checkmarx安全研究团队共同努力的结晶,它遵循OWASP安全编码实践快速参考指南。 这本书主要的目的是为了帮助开发人员...
  • Go语言微服务安全防护策略:5步构建坚不可摧的系统防线
    2025-10-14 18:50
    FuncInk的博客 掌握Go语言微服务框架安全防护核心方法,5步构建高可用系统防线。涵盖身份认证、数据加密、限流熔断等关键策略,适用于金融、电商等高并发场景,提升系统稳定性与抗攻击能力,值得收藏。
  • 1024程序员节福利倒计时:你领了这8项免费技术认证吗?
    2025-09-28 19:13
    ProceChat的博客 风险类型 常见场景 修复建议 跨站脚本(XSS) 用户输入未过滤直接输出 输入转义、CSP策略 不安全反序列化 Java/Python对象反序列化 白名单校验、禁用危险类 4.4 安全实践:ISC² Certified in Cybersecurity免费...
  • Go语言安全编码规范-翻译(分享转发)
    2019-04-24 09:50
    weixin_30299709的博客 Go语言安全编码规范-翻译 本文翻译原文由:blood_zer0、Lingfighting完成如果翻译的有问题:联系我(Lzero2012)。匆忙翻译肯定会有很多错误,...Go语言-Web应用程序安全编码实践是为了给任何使用Go进行编程与W...
  • 前端面试题整合
    2024-08-08 16:36
    左又的博客 如果回退分支的代码还需要使用就gitrevert,如果分支提错了,且不被记录则使用reset 6、说说你对前端工程化的理解 前端工程化是指将前端开发中的设计、开发、测试和部署等环节进行标准化和自动化,以提高开发效率和...
  • Burp Suite使用介绍说明
    2021-05-21 10:49
    crystal_o的博客 5.Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。 6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP ...
  • Burp Suite使用介绍
    2019-05-06 18:29
    东边的小山的博客 5.Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。 6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP ...
  • Burp Suite使用介绍(一)
    2018-07-21 13:36
    yunshouhu的博客 转自:https://www.cnblogs.com/h4ck0ne/p/5154617.html Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能...
  • LInux常用的60个命令,小白必须掌握的命令
    2018-04-15 19:56
    SoftGit的博客 login的作用是登录系统,它的使用权限是所有用户。 2.格式 login [name] [-p][-h 主机名称] 3.主要参数 -p:通知login保存现在的环境参数。 -h:用来向远程登录的质检传输用户名。 如果选择用命令行模式登录...
  • Burp Suite使用介绍总结
    2016-01-23 17:47
    「已注销」的博客 Burp Suite使用介绍(一) 小乐天 · 2014/05/01 19:54 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。...
  • 没有解决我的问题, 去提问