From bcf9adf1556eb49058e5eef388ba237fd046f285 Mon Sep 17 00:00:00 2001 From: Slava Zgordan Date: Mon, 28 Sep 2015 12:11:47 +0200 Subject: [PATCH 1/5] 04.3 --- ru/04.3.md | 68 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 68 insertions(+) create mode 100644 ru/04.3.md diff --git a/ru/04.3.md b/ru/04.3.md new file mode 100644 index 00000000..28408081 --- /dev/null +++ b/ru/04.3.md @@ -0,0 +1,68 @@ +# 4.3 Межсайтовый скриптинг + +Для совершенствования взаимодействия с пользоваталем современные сайты содержат все больше динамического контента, что означает, что мы должны предоставлять информацию динамически в зависимости от поведения каждого пользователя. К сожалению, существует такое явление как "межсайтовый скриптинг" (известный как "XSS"), осуществляющее постоянные атаки на динамические сайты, в то время как сайты со статическим содержимым этим атакам не подвержены. + +Злоумышленники посылают на сайты, подверженные межсайтовому скриптингу, скрипты на JavaScript, VBScript, ActiveX или Flash. Если скрипт удачно вторгся на сайт, пользовательская инормация может быть похищена, а сайт наполнен спамом. Злоумышленники могут также изменить настройки пользователя на те, которые захотят. + +Если Вы хотите предотвратить этот тип атаки, Вам нужно комбинировать два следующих подхода: + +- Проверка всех данных, идущих от пользователя, о чем мы поговорили в предыдущей главе. +- Обработка всех данных, посылаемых клиенту, для того, чтобы предотвратить запуск опасных скриптов в браузере. + +Итак, как нам осуществить эти два пункта в Go? К счастью, пакет `html/template` имеет в своем распоряжении несколько полезных функций, чтобы обезопасить данные: + +- `func HTMLEscape(w io.Writer, b []byte)` отправляет в w версию b с заменой потенциально опасных символов на их escape-последовательности. +- `func HTMLEscapeString(s string) string` возвращает версию s с заменой потенциально опасных символов на их escape-последовательности. +- `func HTMLEscaper(args ...interface{}) string` формирует строку из множества аргументов с заменой потенциально опасных символов на escape-последовательности. + +Давайте изменим пример из раздела 4.1: + + fmt.Println("Имя пользователя:", template.HTMLEscapeString(r.Form.Get("username"))) // печатает на стороне сервера + fmt.Println("Пароль:", template.HTMLEscapeString(r.Form.Get("password"))) + template.HTMLEscape(w, []byte(r.Form.Get("username"))) // отправляет клиенту + +Если кто-то попробует ввести в поле для ввода имени пользователя ``, мы увидим следующую картину в браузере: + +![](images/4.3.escape.png?raw=true) + +Рисунок 4.3 JavaScript после обработки escape-последовательностью + +Функции пакета `html/template` помогут Вам заменить все теги HTML на их безопасные аналоги. Но что, если Вам нужно передать в браузер ``? В этом случае нужно использовать пакет `text/template`. + + import "text/template" + ... + t, err := template.New("foo").Parse(`{{define "T"}}Привет, {{.}}!{{end}}`) + err = t.ExecuteTemplate(out, "T", "") + +Вывод: + + Привет, ! + +Или можно использовать тип `template.HTML` : +Содержимое переменной типа `template.HTML` не изменяется с учетом escape-последовательностей. + + import "html/template" + ... + t, err := template.New("foo").Parse(`{{define "T"}}Привет, {{.}}!{{end}}`) + err = t.ExecuteTemplate(out, "T", template.HTML("")) + +Вывод: + + Привет, ! + +Еще один пример эскейпинга: + + import "html/template" + ... + t, err := template.New("foo").Parse(`{{define "T"}}Привет, {{.}}!{{end}}`) + err = t.ExecuteTemplate(out, "T", "") + +Вывод: + + Привет, <script>alert('Вы попались!')</script>! + +## Ссылки + +- [Содержание](preface.md) +- Предыдущий раздел: [Проверка введенных данных](04.2.md) +- Следующий раздел: [Дублирование отправки](04.4.md) From ab8fa41258c773fe88ebaf772b914c885919c666 Mon Sep 17 00:00:00 2001 From: Slava Zgordan Date: Mon, 28 Sep 2015 12:17:20 +0200 Subject: [PATCH 2/5] 04.3 --- ru/04.3.md | 9 ++++----- 1 file changed, 4 insertions(+), 5 deletions(-) diff --git a/ru/04.3.md b/ru/04.3.md index 28408081..5e9caf41 100644 --- a/ru/04.3.md +++ b/ru/04.3.md @@ -1,8 +1,8 @@ # 4.3 Межсайтовый скриптинг -Для совершенствования взаимодействия с пользоваталем современные сайты содержат все больше динамического контента, что означает, что мы должны предоставлять информацию динамически в зависимости от поведения каждого пользователя. К сожалению, существует такое явление как "межсайтовый скриптинг" (известный как "XSS"), осуществляющее постоянные атаки на динамические сайты, в то время как сайты со статическим содержимым этим атакам не подвержены. +Для совершенствования взаимодействия с пользователем современные сайты содержат все больше динамического контента, что означает, что мы должны предоставлять информацию динамически в зависимости от поведения каждого пользователя. К сожалению, существует такое явление как "межсайтовый скриптинг" (известный как "XSS"), с помощью которого осуществляются постоянные атаки на динамические сайты, в то время как сайты со статическим содержимым этим атакам не подвержены. -Злоумышленники посылают на сайты, подверженные межсайтовому скриптингу, скрипты на JavaScript, VBScript, ActiveX или Flash. Если скрипт удачно вторгся на сайт, пользовательская инормация может быть похищена, а сайт наполнен спамом. Злоумышленники могут также изменить настройки пользователя на те, которые захотят. +Злоумышленники посылают на сайты, подверженные межсайтовому скриптингу, скрипты на JavaScript, VBScript, ActiveX или Flash. Если скрипт удачно вторгся на сайт, пользовательская информация может быть похищена, а сайт наполнен спамом. Злоумышленники могут также изменить настройки пользователя на те, которые захотят. Если Вы хотите предотвратить этот тип атаки, Вам нужно комбинировать два следующих подхода: @@ -27,7 +27,7 @@ Рисунок 4.3 JavaScript после обработки escape-последовательностью -Функции пакета `html/template` помогут Вам заменить все теги HTML на их безопасные аналоги. Но что, если Вам нужно передать в браузер ``? В этом случае нужно использовать пакет `text/template`. +Функции пакета `html/template` помогут Вам заменить все теги HTML на их безопасные аналоги. Но что, если Вам нужно передать в браузер ``? В этом случае нужно использовать пакет `text/template`: import "text/template" ... @@ -38,8 +38,7 @@ Привет, ! -Или можно использовать тип `template.HTML` : -Содержимое переменной типа `template.HTML` не изменяется с учетом escape-последовательностей. +Или можно использовать тип `template.HTML`. Содержимое переменной типа `template.HTML` не изменяется с учетом escape-последовательностей: import "html/template" ... From dae8dfce8b7a6bdea9b9b600e932fe8d5631abc3 Mon Sep 17 00:00:00 2001 From: Slava Zgordan Date: Tue, 29 Sep 2015 09:54:42 +0200 Subject: [PATCH 3/5] 04.4 --- ru/04.4.md | 57 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 57 insertions(+) create mode 100644 ru/04.4.md diff --git a/ru/04.4.md b/ru/04.4.md new file mode 100644 index 00000000..06bbd502 --- /dev/null +++ b/ru/04.4.md @@ -0,0 +1,57 @@ +# 4.4 Дублирование отправки + +Не знаю, встречалось ли Вам, что на каком-либо блоге или форуме размещено несколько постов подряд с одинаковым содержимым, но я могу сказать Вам, что это происходит по причине того, что отправка постов дублируется пользователем. Это может произойти по многим причинам; иногда пользователь отправляет форму двойным щелчком, или он после отправки решает исправить содержимое поста и нажимает кнопку браузера "Назад". А иногда это - намереные действия злоумышленников. Понятно, что дублирование отправки может привести ко многим проблемам. Поэтому нам нужно принимать эффективные меры для его предотвращения. + +Решением этой задачи является добавление в форму скрытого поля с уникальным токеном и проверка этого токена перед перед обработкой введенных данных. А если для отправки формы Вы используете Ajax, можно после того, как данные отправлены, сделать кнопку отправки неактивной. + +Давайте усовершенствуем пример из раздела 4.2: + + Футбол + Баскетбол + Теннис + Имя: + Пароль: + + + +Для того, чтобы сгенерировать токен, мы используем хэш MD5 (временная отметка), и добавляем его как в скрытое поле формы ввода данных на стороне клиента, так и в сессионный куки на стороне сервера (Раздел 6). Мы можем использовать этот токен для того, чтобы проверить, отправлялись ли уже с этой формы данные. + + func login(w http.ResponseWriter, r *http.Request) { + fmt.Println("method:", r.Method) // получаем метод запроса + if r.Method == "GET" { + crutime := time.Now().Unix() + h := md5.New() + io.WriteString(h, strconv.FormatInt(crutime, 10)) + token := fmt.Sprintf("%x", h.Sum(nil)) + + t, _ := template.ParseFiles("login.gtpl") + t.Execute(w, token) + } else { + // запрос данных о входе + r.ParseForm() + token := r.Form.Get("token") + if token != "" { + // проверяем валидность токена + } else { + // если нет токена, возвращаем ошибку + } + fmt.Println("username length:", len(r.Form["username"][0])) + fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) // печатаем на стороне сервера + fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password"))) + template.HTMLEscape(w, []byte(r.Form.Get("username"))) // отвечаем клиенту + } + } + +![](images/4.4.token.png?raw=true) + +Рисунок 4.4 Содержимое браузера после добавления токена + +Если обновлять страницу, можно видеть каждый раз новый токен. Этот факт обеспечивает то, что каждая форма уникальна. + +На данный момент Вы можете предотвращать множество атак на основе дублирования отправки посредством добавления в формы токенов, но все атаки такого типа предотвратить таким образом нельзя. Для этого нужно проделать еще больше работы. + +## Ссылки + +- [Содержание](preface.md) +- Предыдущий раздел: [Межсайтовый скриптинг](04.3.md) +- Следующий раздел: [Загрузка файлов](04.5.md) From 2ed21e3b04a40f48d908c71c9d8c2c68939d101c Mon Sep 17 00:00:00 2001 From: Slava Zgordan Date: Wed, 30 Sep 2015 12:20:48 +0200 Subject: [PATCH 4/5] 04.6 --- ru/04.4.md | 6 +- ru/04.5.md | 168 +++++++++++++++++++++++++++++++++++++++++++++++++++++ ru/04.6.md | 11 ++++ 3 files changed, 182 insertions(+), 3 deletions(-) create mode 100644 ru/04.5.md create mode 100644 ru/04.6.md diff --git a/ru/04.4.md b/ru/04.4.md index 06bbd502..41578519 100644 --- a/ru/04.4.md +++ b/ru/04.4.md @@ -1,6 +1,6 @@ # 4.4 Дублирование отправки -Не знаю, встречалось ли Вам, что на каком-либо блоге или форуме размещено несколько постов подряд с одинаковым содержимым, но я могу сказать Вам, что это происходит по причине того, что отправка постов дублируется пользователем. Это может произойти по многим причинам; иногда пользователь отправляет форму двойным щелчком, или он после отправки решает исправить содержимое поста и нажимает кнопку браузера "Назад". А иногда это - намереные действия злоумышленников. Понятно, что дублирование отправки может привести ко многим проблемам. Поэтому нам нужно принимать эффективные меры для его предотвращения. +Не знаю, встречали ли Вы, как на каком-либо блоге или форуме размещено несколько постов подряд с одинаковым содержимым, но я могу сказать Вам, что это происходит по причине того, что отправка постов дублируется пользователем. Это может произойти по многим причинам; иногда пользователь отправляет форму двойным щелчком, или он после отправки решает исправить содержимое поста и нажимает кнопку браузера "Назад". А иногда это - намереные действия злоумышленников. Понятно, что дублирование отправки может привести ко многим проблемам. Поэтому нам нужно принимать эффективные меры для его предотвращения. Решением этой задачи является добавление в форму скрытого поля с уникальным токеном и проверка этого токена перед перед обработкой введенных данных. А если для отправки формы Вы используете Ajax, можно после того, как данные отправлены, сделать кнопку отправки неактивной. @@ -14,7 +14,7 @@ -Для того, чтобы сгенерировать токен, мы используем хэш MD5 (временная отметка), и добавляем его как в скрытое поле формы ввода данных на стороне клиента, так и в сессионный куки на стороне сервера (Раздел 6). Мы можем использовать этот токен для того, чтобы проверить, отправлялись ли уже с этой формы данные. +Для того, чтобы сгенерировать токен, мы используем хэш MD5 (временная отметка), и добавляем его как в скрытое поле формы ввода данных на стороне клиента, так и в сессионный куки на стороне сервера (см. Раздел 6). Мы можем использовать этот токен для того, чтобы проверить, отправлялись ли уже данные с этой формы: func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) // получаем метод запроса @@ -46,7 +46,7 @@ Рисунок 4.4 Содержимое браузера после добавления токена -Если обновлять страницу, можно видеть каждый раз новый токен. Этот факт обеспечивает то, что каждая форма уникальна. +Если обновлять страницу, можно видеть каждый раз новый токен. Это обеспечивает то, что каждая форма уникальна. На данный момент Вы можете предотвращать множество атак на основе дублирования отправки посредством добавления в формы токенов, но все атаки такого типа предотвратить таким образом нельзя. Для этого нужно проделать еще больше работы. diff --git a/ru/04.5.md b/ru/04.5.md new file mode 100644 index 00000000..6aa48a09 --- /dev/null +++ b/ru/04.5.md @@ -0,0 +1,168 @@ +# 4.5 Загрузка файлов + +Предположим, у Вас есть веб-сайт наподобие Instagram, и Вы хотите, чтобы пользователи закачивали туда свои фортографии. Как можно реализовать эту функцию? + +Для этого нужно добавить в форму, через которую будут закачиваться фотографии, свойство `enctype`. Оно имеет три значения: + +``` +application/x-www-form-urlencoded Кодировать все символы перед закачкой (по умолчанию). +multipart/form-data Не кодировать. Если в форме есть функционал закачки файлов, Вы должны использовать это значение. +text/plain Конвертировать пробелы в "+", но не кодировать специальные символы. +``` + + +Поэтому, содержимое HTML формы для загрузки файлов должно выглядеть так: + +``` + + + Загрузка файлов + + +
+ + + +
+ + +``` + + +Для работы с этой формой мы должны добавить функцию на сервере: + +``` +http.HandleFunc("/upload", upload) + +// обработка закачки +func upload(w http.ResponseWriter, r *http.Request) { + fmt.Println("Метод:", r.Method) + if r.Method == "GET" { + crutime := time.Now().Unix() + h := md5.New() + io.WriteString(h, strconv.FormatInt(crutime, 10)) + token := fmt.Sprintf("%x", h.Sum(nil)) + + t, _ := template.ParseFiles("upload.gtpl") + t.Execute(w, token) + } else { + r.ParseMultipartForm(32 << 20) + file, handler, err := r.FormFile("uploadfile") + if err != nil { + fmt.Println(err) + return + } + defer file.Close() + fmt.Fprintf(w, "%v", handler.Header) + f, err := os.OpenFile("./test/"+handler.Filename, os.O_WRONLY|os.O_CREATE, 0666) + if err != nil { + fmt.Println(err) + return + } + defer f.Close() + io.Copy(f, file) + } +} +``` + + +Как Вы можете видеть, для загрузки файлов нужно вызвать функцию `r.ParseMultipartForm`. Эта функция имеет аргумент `maxMemory`. После вызова `ParseMultipartForm` файл будет сохранен в памяти сервера с размером `maxMemory`. Если размер файла больше, чем `maxMemory`, остальная часть данных будет сохранена во временном файле в системе. Вы можете использовать `r.FormFile` для того, чтобы работать с файлом, и `io.Copy` для того, чтобы сохранить файл в файловой системе. + +Для того, чтобы получить доступ к другим полям формы, не относящимся к загрузке файлов, Вам не нужно вызывать `r.ParseForm`, так как Go вызовет эту функцию, когда понадобится. Также, вызов `ParseMultipartForm` один раз достаточен - многократные вызовы ничего не меняют. + +Для загрузки файлов мы используем следующие три шага: + +1. Добавить в форму `enctype="multipart/form-data"`. +2. Вызвать на стороне сервера `r.ParseMultipartForm`, чтобы сохранить файл в память или во временный файл. +3. Вызвать `r.FormFile` для обработки файла и сохранения его в файловую систему. + +Хэндлером для файла является `multipart.FileHeader`. У него следующая структура: + +``` +type FileHeader struct { + Filename string + Header textproto.MIMEHeader + // соджержит отфильтрованные или неэкспортируемые поля +} +``` + +![](images/4.5.upload2.png?raw=true) + +Рисунок 4.5 Вывод информации на сервере после получения файла + +## Загрузка файлов клиентом + +Я показал Вам пример, как можно использовать форму для загрузки файлов. Мы можем сделать так, чтобы загружать файлы через форму без участия человека: + +``` +package main + +import ( + "bytes" + "fmt" + "io" + "io/ioutil" + "mime/multipart" + "net/http" + "os" +) + +func postFile(filename string, targetUrl string) error { + bodyBuf := &bytes.Buffer{} + bodyWriter := multipart.NewWriter(bodyBuf) + + // этот шаг очень важен + fileWriter, err := bodyWriter.CreateFormFile("uploadfile", filename) + if err != nil { + fmt.Println("ошибка записи в буфер") + return err + } + + // процедура открытия файла + fh, err := os.Open(filename) + if err != nil { + fmt.Println("ошибка открытия файла") + return err + } + + //iocopy + _, err = io.Copy(fileWriter, fh) + if err != nil { + return err + } + + contentType := bodyWriter.FormDataContentType() + bodyWriter.Close() + + resp, err := http.Post(targetUrl, contentType, bodyBuf) + if err != nil { + return err + } + defer resp.Body.Close() + resp_body, err := ioutil.ReadAll(resp.Body) + if err != nil { + return err + } + fmt.Println(resp.Status) + fmt.Println(string(resp_body)) + return nil +} + +// пример использования +func main() { + target_url := "http://localhost:9090/upload" + filename := "./astaxie.pdf" + postFile(filename, target_url) +} +``` + + +Этот пример показывает, как можно использовать клиента для загрузки файлов. Он использует `multipart.Write` для того, чтобы записывать файлы в кэш, и посылает их на сервер посредством метода POST. + +Если у Вас есть другие поля, которые нужно писать в данные, такие, как имя пользователя, вызывайте `multipart.WriteField` по необходимости. + +## Ссылки + +- [Содержание](preface.md) +- Предыдущий раздел: [Дублирование отправки](04.4.md) +- Следующий раздел: [Итоги раздела](04.6.md) diff --git a/ru/04.6.md b/ru/04.6.md new file mode 100644 index 00000000..9dd42932 --- /dev/null +++ b/ru/04.6.md @@ -0,0 +1,11 @@ +# 4.6 Итоги раздела + +В этом разделе мы изучили основные моменты того, как работать с данными в Go, посредством нескольких примеров, таких как вход пользователей и загрузка файлов. Мы также заострили внимание на том, что проверка данных крайне важна для безопасности сайта, а также посвятили одну секцию тому, как фильтровать входные данные посредством регулярных выражений. + +Я надеюсь, что теперь Вы больше знаете о процессе коммуникации между клиентом и сервером. + +## Ссылки + +- [Содержание](preface.md) +- Предыдущий раздел: [Загрузка файлов](04.5.md) +- Следужщий раздел: [Базы данных](05.0.md) From 23cff0caca2a6de611962bc8c780d167b0f1cd7d Mon Sep 17 00:00:00 2001 From: Slava Zgordan Date: Wed, 30 Sep 2015 12:26:13 +0200 Subject: [PATCH 5/5] 04.6 --- ru/04.5.md | 4 ++-- ru/04.6.md | 2 +- 2 files changed, 3 insertions(+), 3 deletions(-) diff --git a/ru/04.5.md b/ru/04.5.md index 6aa48a09..ab69c9fc 100644 --- a/ru/04.5.md +++ b/ru/04.5.md @@ -90,7 +90,7 @@ type FileHeader struct { Рисунок 4.5 Вывод информации на сервере после получения файла -## Загрузка файлов клиентом +## Загрузка файлов с помощью клиента Я показал Вам пример, как можно использовать форму для загрузки файлов. Мы можем сделать так, чтобы загружать файлы через форму без участия человека: @@ -159,7 +159,7 @@ func main() { Этот пример показывает, как можно использовать клиента для загрузки файлов. Он использует `multipart.Write` для того, чтобы записывать файлы в кэш, и посылает их на сервер посредством метода POST. -Если у Вас есть другие поля, которые нужно писать в данные, такие, как имя пользователя, вызывайте `multipart.WriteField` по необходимости. +Если у Вас есть другие поля, которые нужно писать в данные, такие, как имя пользователя, вызывайте по необходимости метод `multipart.WriteField`. ## Ссылки diff --git a/ru/04.6.md b/ru/04.6.md index 9dd42932..78350cbd 100644 --- a/ru/04.6.md +++ b/ru/04.6.md @@ -1,6 +1,6 @@ # 4.6 Итоги раздела -В этом разделе мы изучили основные моменты того, как работать с данными в Go, посредством нескольких примеров, таких как вход пользователей и загрузка файлов. Мы также заострили внимание на том, что проверка данных крайне важна для безопасности сайта, а также посвятили одну секцию тому, как фильтровать входные данные посредством регулярных выражений. +В этом разделе мы изучили основные моменты того, как работать с данными в Go, посредством нескольких примеров, таких как обработка входа пользователей и загрузка файлов. Мы также заострили внимание на том, что проверка данных крайне важна для безопасности сайта, а также посвятили одну секцию тому, как фильтровать входные данные посредством регулярных выражений. Я надеюсь, что теперь Вы больше знаете о процессе коммуникации между клиентом и сервером.