本文介绍了在Golang实施XSS保护的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

我正在使用Golang构造一个API REST。我有一个包含许多字段(超过100个)的结构,因此我使用gorilla/schema将来自客户端的值赋给该结构,这非常好用。

现在,我想避免用户在任何字符串字段中插入Java代码,在我定义的结构中,我已经定义了bool、字符串、byte[]和int值。所以,现在我想知道验证这一点的最好方法是什么。

我正在考虑只对字符串字段中的结构感兴趣,并使其类似于:

Loop over the struct {
     myProperty := JSEscapeString(myProperty)
}

可以吗?在这种情况下,我如何才能循环遍历结构而只遍历字符串字段呢?

推荐答案

您可以使用反射循环遍历字段并转义字符串字段。例如:

myStruct := struct {
        IntField int
        StringField string
    } {
        IntField: 42,
        StringField: "<script>alert('foo');</script>",
    }

    value := reflect.ValueOf(&myStruct).Elem()

    // loop over the struct
    for i := 0; i < value.NumField(); i++ {
        field := value.Field(i)

        // check if the field is a string
        if field.Type() != reflect.TypeOf("") {
            continue
        }

        str := field.Interface().(string)
        // set field to escaped version of the string
        field.SetString(html.EscapeString(str))
    }

    fmt.Printf("%#v", myStruct)
    // prints: struct { IntField int; StringField string }{IntField:42, StringField:"&lt;script&gt;alert(&#39;foo&#39;);&lt;/script&gt;"}
请注意,html包中有一个EscapeString函数。不需要实现您自己的。

这篇关于在Golang实施XSS保护的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!

10-18 16:52