douweinu8562 2017-05-26 13:29
浏览 641
已采纳

在Golang中实施XSS保护

I am using Golang to construct an API Rest. I have a struct with a lot of fields (more than 100), so I assign the values that comes from the client side to the struct using gorilla/schema that's working pretty nice.

Now, I want to avoid the users to insert Javascript code in any of the strings fields, in the struct I have defined bool, strings, byte[] and int values. So, now I am wondering what is the best way to validate that.

I am thinking in interate over the struct only in the strings fields and make something like:

Loop over the struct {
     myProperty := JSEscapeString(myProperty)
}

Is it ok? in that case, how can I loop over the struct but only the string fields?

  • 写回答

1条回答 默认 最新

  • dopmgo4707 2017-05-26 14:24
    关注

    You can use reflection to loop over the fields and escape the string fields. For example:

    myStruct := struct {
        IntField int
        StringField string
    } {
        IntField: 42,
        StringField: "<script>alert('foo');</script>",
    }

    value := reflect.ValueOf(&myStruct).Elem()

    // loop over the struct
    for i := 0; i < value.NumField(); i++ {
        field := value.Field(i)

        // check if the field is a string
        if field.Type() != reflect.TypeOf("") {
            continue
        }

        str := field.Interface().(string)
        // set field to escaped version of the string
        field.SetString(html.EscapeString(str))
    }

    fmt.Printf("%#v", myStruct)
    // prints: struct { IntField int; StringField string }{IntField:42, StringField:"&lt;script&gt;alert(&#39;foo&#39;);&lt;/script&gt;"}

    Note that there's an EscapeString function in the html package. No need to implement your own.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • Golang实施XSS保护 xss
    2017-05-26 13:29
    回答 1 已采纳 You can use reflection to loop over the fields and escape the string fields. For example: myStruc
  • golang优先使用goroutine
    2018-12-21 20:09
    回答 2 已采纳 I have created threadpools on golang. This should allow easily one to prioritize certain goroutine
  • golang解析日期
    2018-12-17 15:14
    回答 1 已采纳 Package time import "time" the [layout] reference time can be thought of as 01/02 03
  • Golang笔记
    2023-10-18 15:27
    The Straggling Crow的博客 协程是用户态轻量级线程协程是线程调度的基本单位通常在函数前加上go关键字就能实现并发。一个Goroutine会以一个很小的栈启动2KB或4KB,当遇到栈空间不足时,栈会自动伸缩, 因此可以轻易实现成千上万个goroutine...
  • 如何在Golang使用HTML html
    2019-07-25 00:23
    回答 2 已采纳 ParseFiles stores the names of the list of files as template name. That means, in your case, login
  • golang排序int切片
    2018-07-31 21:03
    回答 1 已采纳 One approach would be to use sort.Slice(...) with a "less" (comparator) function that simply retur
  • golang解析大写字母月份
    2019-04-09 10:19
    回答 1 已采纳 Package time import "time" The recognized month formats are "Jan" and "January". Th
  • go 面试题
    2024-01-29 18:59
    我但行好事莫问前程的博客 上述代码,goroutine会向channel发送两个整数然后关闭它,主goroutine则会从channel接收三次数据,前两次能成功接收到值并打印出来,第三次由于channel已关闭且无数据可读,因此会输出"Channel is closed and ...
  • Golang深度复制数据结构
    2019-05-29 07:29
    回答 2 已采纳 Unfortunately or not, there is no way to do this in Go. First tool that comes to mind is reflectio
  • golang从JSON动态删除密钥 json
    2019-08-01 11:25
    回答 1 已采纳 You may unmarshal into a value of type interface{} if you don't know anything about the JSON. The
  • Golang深度复制地图 json
    2018-07-21 18:42
    回答 2 已采纳 func deepCopyJSON(src map[string]interface{}, dest map[string]interface{}) error { if src == n
  • 网络安全渗透测试的相关理论和工具
    2023-12-14 12:44
    君衍.⠀的博客 1.2 进行渗透测试所使用的方法1.3 进行渗透测试所需要的条件1.4 渗诱试过程的限制条件 1.5 渗透测试的工期 1.6 渗透测试的费用 1.7 渗透测试的预期目标 2、情报的搜集阶段2、情报的搜集阶段 2.1 被动扫描 2.2 主动...
  • 如何在golang获取func文档?
    2019-02-06 16:42
    回答 3 已采纳 Use the go/doc package to extract documentation from source code.
  • Go代码规范
    2021-10-26 19:56
    「已注销」的博客 第三方软件包: Gorilla Toolkit - MUX 输出编码 虽然在OWASP SCP快速参考指南只有6个项目符号部分,但是在Web应用程序开发,输出编码的错误做法非常普遍,因此导致了第一大漏洞:注入。 随着Web应用程序变得...
  • Web服务安全架构——一、Web应用程序基础理论
    2023-12-10 04:00
    君衍.⠀的博客 相较于前端,后端采用的技术更为复杂,因为它要负责将用户的隐私信息安全地存储在数据库,因此面临着更多的安全威胁。 攻击者对后端代码的攻击主要集在利用编码漏洞,以实现信息盗取、获取控制权限等目的。由于...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥30 这是哪个作者做的宝宝起名网站
  • ¥60 版本过低apk如何修改可以兼容新的安卓系统
  • ¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
  • ¥50 有数据,怎么建立模型求影响全要素生产率的因素
  • ¥50 有数据,怎么用matlab求全要素生产率
  • ¥15 TI的insta-spin例程
  • ¥15 完成下列问题完成下列问题
  • ¥15 C#算法问题, 不知道怎么处理这个数据的转换
  • ¥15 YoloV5 第三方库的版本对照问题
  • ¥15 请完成下列相关问题!