Golang如何使用html/template防止XSS-Golang-PHP中文网

Golang如何使用html/template防止XSS

P粉602998670

发布： 2025-10-11 15:55:01

原创

937人浏览过

Go的html/template包能自动转义输出内容，防止XSS攻击。根据上下文（文本、属性、JS、URL等）自动应用转义规则，无需手动调用EscapeString。例如在HTML标签或属性中，特殊字符如<、>、"、'会被转义为实体；在JS字符串或URL中也会相应处理。使用时应始终以字符串传递用户输入，避免滥用template.HTML，仅对可信HTML使用该类型，否则可能导致XSS漏洞。只要正确使用，不随意绕过转义机制，即可有效防御大多数XSS风险。

"golang如何使用html/template防止xss"

Go 的 html/template 包在设计上就考虑了安全问题，能自动对输出内容进行上下文相关的转义，有效防止 XSS（跨站脚本）攻击。只要正确使用，大多数情况下无需手动处理转义。

自动转义机制

html/template 会根据输出所处的 HTML 上下文（如文本、属性、JavaScript、URL 等）自动应用相应的转义规则。这意味着你不需要手动调用类似 html.EscapeString() 的函数。

例如：

在 HTML 标签内输出：特殊字符如 <、>、& 会被转义为实体
在双引号属性中：除了 HTML 转义，还会处理 " 和 '
在 JavaScript 字符串中：会避免 JS 表达式注入
在 URL 中：会对参数进行 url.QueryEscape 处理

基本使用示例

下面是一个防止 XSS 的典型用法：

package main

import (
    &quot;html/template&quot;
    &quot;log&quot;
    &quot;net/http&quot;
)

func handler(w http.ResponseWriter, r *http.Request) {
    data := struct {
        Name string
    }{
        Name: &quot;<script>alert('xss')</script>&quot;,
    }

    tmpl := `&lt;p&gt;你好，{{.Name}}&lt;/p&gt;&lt;p&gt;&lt;span&gt;立即学习&lt;/span&gt;“&lt;a href=&quot;https://pan.quark.cn/s/00968c3c2c15&quot; style=&quot;text-decoration: underline !important; color: blue; font-weight: bolder;&quot; rel=&quot;nofollow&quot; target=&quot;_blank&quot;&gt;go语言免费学习笔记（深入）&lt;/a&gt;”；&lt;/p&gt;`
    t, err := template.New(&quot;xss&quot;).Parse(tmpl)
    if err != nil {
        log.Fatal(err)
    }
    t.Execute(w, data)
}

登录后复制

输出结果是：

<p>你好，&lt;script&gt;alert('xss')&lt;/script&gt;</p>

登录后复制

原始的 script 标签被转义，不会执行。

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

避免破坏转义：不要滥用 template.HTML

只有当你**明确信任某段内容**，且希望将其作为原始 HTML 输出时，才应使用 template.HTML 类型。否则会打开 XSS 漏洞。

错误示例：

data := struct {
    Content template.HTML
}{
    Content: template.HTML(r.FormValue(&quot;user_input&quot;)), // 危险！用户输入直接转为 HTML
}

登录后复制

这会让用户输入的脚本直接渲染到页面，造成 XSS。

正确做法：

始终以字符串形式传递用户输入
仅对经过严格过滤或服务端生成的可信 HTML 使用 template.HTML
必要时可结合使用 HTML 净化库（如 bluemonday）预处理富文本

不同上下文中的安全输出

模板引擎能识别以下上下文并自动转义：

{{.}} 在 <div>...</div> 中 → HTML 转义
<input value="{{.}}"> → 属性转义
<a href="/search?q={{.}}"> → URL 查询转义
<script>var name = "{{.}}";</script> → JS 字符串转义

确保变量始终在正确的语法位置使用，引擎才能正确推断上下文。

基本上就这些。只要不随意使用 template.HTML、template.JS 等标记类型，坚持让数据以普通字符串进入模板，Go 的 html/template 就能帮你挡住绝大多数 XSS 风险。

以上就是Golang如何使用html/template防止XSS的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Golang 模板中输出 JavaScript 的 null 或字符串利用AJAX和Go构建交互式Web应用：从JavaScript调用Go后端服务从JavaScript调用Go后端服务：构建交互式Web应用的AJAX实践 MongoDB JavaScript字段值评估：深入理解与实践 MongoDB服务器端JavaScript执行：动态字段值与eval命令实践