>백엔드 개발 >Golang >HTML 템플릿의 개행 문자를 안전하게 처리하는 방법은 무엇입니까?

HTML 템플릿의 개행 문자를 안전하게 처리하는 방법은 무엇입니까?

Barbara Streisand
Barbara Streisand원래의
2024-11-03 20:59:02730검색

How to Handle Newlines in HTML Templates Safely?

HTML 템플릿에서 줄바꿈 이스케이프

줄바꿈이 포함된 텍스트 파일을 HTML 템플릿에 로드할 때 크로스 사이트 스크립팅에 대한 예방 조치를 취하는 것이 중요합니다. (XSS) 공격. 이상적으로는 n자를
로 바꿔야 합니다. 브라우저에서 줄 바꿈을 유지하는 태그입니다. 그러나 문자를 직접 대체하면 템플릿이 해당 문자를 HTML 엔터티
로 이스케이프하여 의도한 대로 렌더링되지 않을 수 있습니다.

template.HTMLEscape()를 사용하는 솔루션

XSS 보호를 유지하면서 문제를 방지하려면 먼저 template.HTMLEscape() 함수를 사용하여 텍스트를 삭제하는 것이 좋습니다. 이 기능은 n을
로 대체하기 전에 위험한 문자를 이스케이프 처리합니다.

예:

<code class="go">package main

import (
    "html/template"
    "os"
    "strings"
)

const page = `<!DOCTYPE html>
<html>
  <head>
  </head>
  <body>
    <p>{{.}}</p>
  </body>
</html>`

const text = `first line
<script>dangerous</script>
last line`

func main() {
    t := template.Must(template.New("page").Parse(page))
    safe := template.HTMLEscapeString(text)
    safe = strings.Replace(safe, "\n", "<br>", -1)
    t.Execute(os.Stdout, template.HTML(safe)) // template.HTML encapsulates a known safe HTML document fragment.
}</code>

브라우저의 출력:

<code class="html">first line
<script>dangerous</script>
last line</code>

대체하기 전에 텍스트를 이스케이프함으로써 템플릿은 XSS 공격으로부터 보호하면서 줄바꿈을 올바르게 렌더링합니다.

위 내용은 HTML 템플릿의 개행 문자를 안전하게 처리하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.