codecamp

GoFrame 模板引擎-XSS处理

默认情况下,模板引擎对所有的变量输出并没有使用​HTML​转码处理,也就是说,如果开发者处理不好,可能会存在​XSS​漏洞。

不用担心,​GoFrame​框架当然已经充分考虑到这点,并且为开发者提供了比较灵活的配置参数来控制是否默认转义变量输出的​HTML​内容。该特性可以通过​AutoEncode​配置项,或者​SetAutoEncode​方法来开启/关闭。

需要注意的是,该特性并不会影响​include​模板的内置函数。

使用示例:

1、配置文件

[viewer]
    delimiters  =  ["${", "}"]
    autoencode  =  true

2、示例代码

package main

import (
	"context"
	"fmt"
	"github.com/gogf/gf/v2/frame/g"
)

func main() {
	result, _ := g.View().ParseContent(context.TODO(), "姓名: ${.name}", g.Map{
		"name": "<script>alert('john');</script>",
	})
	fmt.Println(result)
}

3、执行输出

姓名: &lt;script&gt;alert(&#39;john&#39;);&lt;/script&gt;


GoFrame 模板引擎-模板布局
GoFrame 模板引擎-其他使用
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

GoFrame 核心组件

GoFrame 核心组件-数据库ORM

GoFrame 模块列表

GoFrame 模块列表-单元测试

GoFrame 模块列表-功能调试

GoFrame WEB服务开发

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }