lostecho/build-web-application-with-golang
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

修改了一些第四章的细节

Browse Source
This commit is contained in:
astaxie
2012-09-07 11:35:22 +08:00
parent 35b9415818
commit c0adec3389
3 changed files with 62 additions and 56 deletions
Download Patch File Download Diff File Expand all files Collapse all files

14
4.2.md
View File

@@ -1,6 +1,6 @@
#4.2验证表单的输入
我们开发Web的一个原则就是不能信任任何用户输入的信息所以验证和过滤用户的输入信息就变得相当重要我们经常会在微博、新闻中听到某某网站被入侵了存在什么漏洞这些大多是是因为对于用户输入的信息没有做严格的验证引起的所以为了编写出安全可靠的Web程序验证表单输入变得相当的重要。
我们开发Web的一个原则就是不能信任用户输入的任何信息所以验证和过滤用户的输入信息就变得相当重要我们经常会在微博、新闻中听到某某网站被入侵了存在什么漏洞这些大多是是因为对于用户输入的信息没有做严格的验证引起的所以为了编写出安全可靠的Web程序验证表单输入变得相当的重要。
我们平常编写Web应用主要有两方面的数据验证一个是在页面端的js验证(目前很多这方面的验证库),一个是在服务器端的验证,我们这小节讲解的是如何在服务器端验证。
@@ -11,10 +11,10 @@
//为空的处理
}
不同类型的表单元素留空会导致`r.Form`里面的数据不尽相同,空文本框、空文本区域以及文件上传的值是零长度的值。但是未选中的复选框和单选按钮就不会再`r.Form`中产生任何字段,当我们这样预测的去获取数据时程序就会报错。所以我们可以通过`r.Form.Get()`来获取值,首先判断是否存在
`r.Form`不同类型的表单元素留空有不同的处理, 对于空文本框、空文本区域以及文件上传,元素的值为空值,而如果是未选中的复选框和单选按钮,则根本不会在r.Form中产生相应条目,如果我们用上面例子中的方式去获取数据时程序就会报错。所以我们需要通过`r.Form.Get()`来获取值,因为如果字段不存在,通过该方式获取的是空值。但是通过`r.Form.Get()`只能获取单个的值如果是map的值必须通过上面的方式来获取
##数字
你想要确保一个表单输入框中获取的只能是数字,例如,你想通过表单获取个人的具体年龄,而不是“一把年纪了”“年轻着呢”而实际上一个10岁一个50岁。
你想要确保一个表单输入框中获取的只能是数字,例如,你想通过表单获取个人的具体年龄是50岁还是10岁,而不是“一把年纪了”“年轻着呢”这种描述
如果我们是判断正整数那么我们先转化成int类型然后进行处理
@@ -36,8 +36,10 @@
对于性能要求很高的用户来说这是一个老生常谈的问题了他们认为应该尽量避免使用正则表达式因为使用正则表达式的速度会比较慢。但是在目前机器性能那么强劲的情况下对于这种简单的正则表达式效率和类型转换函数是没有什么差别的。如果你对正则表达式很熟悉而且你在其它语言中也在使用它那么在Go里面使用正则表达式将是一个便利的方式。
>Go实现的正则是[RE2](http://code.google.com/p/re2/wiki/Syntax)所有的字符都是UTF-8编码的。
##中文
有时候我们想通过表单元素获取一个用户的中文名字,但是又为了保证获取的是争取的中文,我们需要进行验证,而不是用户随便的一些输入。对于中文我们目前有效的验证只有正则方式来验证,如下代码所示
有时候我们想通过表单元素获取一个用户的中文名字,但是又为了保证获取的是正确的中文,我们需要进行验证,而不是用户随便的一些输入。对于中文我们目前有效的验证只有正则方式来验证,如下代码所示
if m, _ := regexp.MatchString("^[\\x{4e00}-\\x{9fa5}]+$", r.Form.Get("realname")); !m {
return false
@@ -71,7 +73,7 @@
}
##下拉菜单
如果我们想要判断表单里面`<select>`元素生成的下拉菜单中是否有被选中的项目。有些时候黑客可能会伪造这个下拉菜单不存在的值发送给你,那么我们如何判断这个值是否是我们预的值呢?
如果我们想要判断表单里面`<select>`元素生成的下拉菜单中是否有被选中的项目。有些时候黑客可能会伪造这个下拉菜单不存在的值发送给你,那么如何判断这个值是否是我们预的值呢?
我们的select可能是这样的一些元素
@@ -95,7 +97,7 @@
上面这个函数包含在我开源的一个库里面(操作slice和map的库)[https://github.com/astaxie/beeku](https://github.com/astaxie/beeku)
##单选按钮
如果我们想要判断radio按钮是否有一个被选中了我们页面的输出可能就是一个男、女性别的选择但是也可能一个15岁大的无聊小孩一手拿着http协议的书另一只手通过telnet客户端向你的程序在发送请求呢你设定的性别男值是1女是2他给你发送一个3你的程序会出现异常吗
如果我们想要判断radio按钮是否有一个被选中了我们页面的输出可能就是一个男、女性别的选择但是也可能一个15岁大的无聊小孩一手拿着http协议的书另一只手通过telnet客户端向你的程序在发送请求呢你设定的性别男值是1女是2他给你发送一个3你的程序会出现异常吗因此我们也需要像下拉菜单的判断方式类似,判断我们获取的值是我们预设的值,而不是额外的值。
<input type="radio" name="gender" value="1">男
<input type="radio" name="gender" value="2">女

104
4.3.md
View File

@@ -1,51 +1,55 @@
#4.3 预防跨站脚本
现在的网站包含大量的动态内容以提高用户体验比过去要复杂得多。所谓动态内容就是根据用户环境和需要Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”Cross Site Scripting, 安全专家们通常将其缩写成 XSS的威胁而静态站点则完全不受其影响。
攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手他们可以盗取用户帐户修改用户设置盗取/污染cookie做虚假广告等。
对XSS最佳的防护应该结合以下两种方法验证所有输入数据有效检测攻击(这个我们前面小节已经有过介绍);对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
那么Go里面是怎么做这个有效防护的呢Go的html/template里面带有下面几个函数可以帮你转移
- func HTMLEscape(w io.Writer, b []byte) //把需要转移的b进行转义之后写到w
- func HTMLEscapeString(s string) string //转移s之后返回转义的字符串
- func HTMLEscaper(args ...interface{}) string //支持多个参数一起转义,然后返回一个字符串
我们看4.1小节的例子
fmt.Println("username:", HTMLEscapeString(r.Form["username"])) //输出到服务器端
fmt.Println("password:", HTMLEscapeString(r.Form["password"]))
HTMLEscape(w,r.Form["username"]) //输出到客户端
那么我们在输出我们的模板的时候怎么处理的呢Go的html/template包现在默认就帮你过滤了html元素但是有时候你又想输出这样的信息text/template也支持。请看下面的例子所示
import "text/template"
...
t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
输出
Hello, <script>alert('you have been pwned')</script>!
转义的例子:
import "html/template"
...
t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
转移之后的输出:
Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
## links
* [目录](<preface.md>)
* 上一节: [验证的输入](<4.2.md>)
* 下一节: [防止多次递交表单](<4.4.md>)
## LastModified
#4.3 预防跨站脚本
现在的网站包含大量的动态内容以提高用户体验比过去要复杂得多。所谓动态内容就是根据用户环境和需要Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”Cross Site Scripting, 安全专家们通常将其缩写成 XSS的威胁而静态站点则完全不受其影响。
攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手他们可以盗取用户帐户修改用户设置盗取/污染cookie做虚假广告等。
对XSS最佳的防护应该结合以下两种方法验证所有输入数据有效检测攻击(这个我们前面小节已经有过介绍);对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
那么Go里面是怎么做这个有效防护的呢Go的html/template里面带有下面几个函数可以帮你转移
- func HTMLEscape(w io.Writer, b []byte) //把需要转移的b进行转义之后写到w
- func HTMLEscapeString(s string) string //转移s之后返回转义的字符串
- func HTMLEscaper(args ...interface{}) string //支持多个参数一起转义,然后返回一个字符串
我们看4.1小节的例子
fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //输出到服务器端
fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password")))
template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
我们看到最后输出到客户端的代码如下:
![](images/4.3.escape.png?raw=true)
那么我们在输出我们的模板的时候怎么处理的呢Go的html/template包现在默认就帮你过滤了html元素但是有时候你又想输出这样的信息text/template也支持。请看下面的例子所示
import "text/template"
...
t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
输出
Hello, <script>alert('you have been pwned')</script>!
转义的例子:
import "html/template"
...
t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
转移之后的输出:
Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
## links
* [目录](<preface.md>)
* 上一节: [验证的输入](<4.2.md>)
* 下一节: [防止多次递交表单](<4.4.md>)
## LastModified
* $Id$

BIN
images/4.3.escape.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 5.5 KiB