• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

使用go搭建一个简单的web服务器(4)预防跨站脚本

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

1.登陆页面

<html>
<head>
<title>login</title>
</head>
<body>
<form action="http://127.0.0.1:9090/login" method="post">
用户名:<input type="text" name="username">
密码:<input type="password" name="password">
<input type="submit" value="登陆">
</form>
</body>
</html>

2.后端处理逻辑

package main

import (
    "fmt"
    "html/template"
    "log"
    "net/http"
    "strings"
    text_template "text/template"
)

func sayhelloname(w http.ResponseWriter, r *http.Request) {
    r.ParseForm() //解析参数,默认是不会解析的。
    fmt.Println(r.Form)
    fmt.Println("path:", r.URL.Path)
    fmt.Println("scheme:", r.URL.Scheme)
    fmt.Println(r.Form["url_long"])
    for k, v := range r.Form {
        fmt.Println("key:", k)
        fmt.Println("value:", strings.Join(v, ","))
    }
    fmt.Fprintf(w, "hello, welcome you!") //这个字符串写入到w中,用于返回给客户端。
}
func login(w http.ResponseWriter, r *http.Request) {
    fmt.Println("method: ", r.Method)
    if r.Method == "GET" {
        t, _ := template.ParseFiles("login.html")
        t.Execute(w, nil)
    } else {
        r.ParseForm()
        //预防跨站脚本攻击
        way := 3
        if way == 1 {
            //将html标签进行转义
            fmt.Println("方法一")
            fmt.Println("username: ", template.HTMLEscapeString(r.Form.Get("username")))
            fmt.Println("password: ", template.HTMLEscapeString(r.Form.Get("password")))
            template.HTMLEscape(w, []byte(r.Form.Get("username"))) //将转义后的用户名字段发送给客户端
        } else if way == 2 {
            //将html标签进行转义
            fmt.Println("方法二")
            t, err := template.New("foo").Parse(`{{define "T"}}Hello,{{.}}!{{end}}`)
            err = t.ExecuteTemplate(w, "T", "<script>alert('you have been login')</script>") //将一段含有脚本的内容发送给客户端
            if err != nil {
                fmt.Println(err)
            }
        } else if way == 3 {
            //在编辑文章时,有时候就想在文章中加入带有html标签的代码来作为示例,那么就不能使用上面的方法进行转义。
            fmt.Println("方法三")
            t, err := template.New("foo").Parse(`{{define "T"}}Hello,{{.}}!{{end}}`)
            err = t.ExecuteTemplate(w, "T", template.HTML("<script>alert('you have been login')</script>")) //将一段含有脚本的内容发送给客户端
            if err != nil {
                fmt.Println(err)
            }
        } else {
            //在编辑文章时,有时候就想在文章中加入带有html标签的代码来作为示例,那么就不能使用上面的方法进行转义。
            fmt.Println("方法四")
            t, err := text_template.New("foo").Parse(`{{define "T"}}Hello,{{.}}!{{end}}`)
            err = t.ExecuteTemplate(w, "T", "<script>alert('you have been login')</script>") //将一段含有脚本的内容发送给客户端
            if err != nil {
                fmt.Println(err)
            }
        }

    }
}
func main() {
    http.HandleFunc("/", sayhelloname)       //设置访问的路由
    http.HandleFunc("/login", login)         //设置访问的路由
    err := http.ListenAndServe(":9090", nil) //设置监听的端口
    if err != nil {
        log.Fatal("ListenAndServe: ", err)
    }
}

 


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
Go操作etcd发布时间:2022-07-10
下一篇:
【go】9-Go语言基础-常量发布时间:2022-07-10
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap