处理表单的输入
request.Form 是 url.Values 类型,里面存储的是类似 key = value 的信息。
v := url.Values{}
v.Set("name", "Ava")
v.Add("friend", "Jess")
v.Add("friend", "Sarah")
v.Add("friend", "Zoe")
// v.Encode() == "name=Ava&friend=Jess&friend=Sarah&friend=Zoe"
fmt.Println(v.Get("name"))
fmt.Println(v.Get("friend"))
fmt.Println(v["friend"])
request 也提供 FormValue() 方法来获取用户提交的参数。如 r.Form["username"] 也可写成 r.FormValue("username")。调用 r.FormValue 时会自动调用 r.ParseForm。r.FormValue 只会返回同名参数中的第一个,若参数不存在则返回空字符串。
预防跨站脚本
动态站点可能会受到“跨站脚本攻击(Cross Site Scripting,XSS)”的威胁,而静态站点不受其影响。
攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、ActiveX 或 Flash 以欺骗用户。一旦得手,他们可以盗取帐户信息,修改用户设置,盗取/污染 cookie 和植入恶意广告等。
对 XSS 最佳的防护应该结合以下两种方法:
- 验证所有输入数据,有效检测攻击;
- 对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行;
Go 的
html/template有几个函数可以转义。 func HTMLEscape(w io.Writer, b []byte)// 把 b 进行转义之后写到 wfunc HTMLEscapeString(s string) string// 转义 s 之后返回结果字符串func HTMLEscaper(args ...interface{}) string// 支持多个参数一起转义,返回结果字符串
fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) // 输出到服务端
template.HTMLEscape(w, []byte(r.Form.Get("username"))) // 输出到客户端
// 服务端打印
username: <script>alert()</script>
// 客户端打印
<script>alert()</script>
html/template 支持转义 html 标签,也支持输出含有 html 的文本。
t, _ := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
_ = t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
// 客户端打印
Hello, <script>alert('you have been pwned')</script>!
t, _ := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
_ = t.ExecuteTemplate(w, "T", template.HTML("<script>alert('you have been pwned')</script>"))
// 客户端打印
Hello, <script>alert('you have been pwned')</script>!
处理文件上传
服务端接收文件
要想使表单能够上传文件,首先第一步就是要添加 form 的 enctype 属性,enctype 属性有如下三种情况:
application/x-www-form-urlencoded表示在发送前,编码所有字符(默认);multipart/form-data不对字符进行编码,在使用包含文件上传控件的表单时,必须使用该值;text/plain空格转换为+,但不对特殊字符编码;
<form enctype="multipart/form-data" action="/upload" method="post">
<input type="file" name="uploadfile" />
<input type="hidden" name="token" value="{{.}}"/>
<input type="submit" value="upload" />
</form>
处理文件上传时,需要调用 r.ParseMultipartForm,里面的参数表示 maxMemory,上传的文件存储在 maxMemory 大小的内存里面,如果文件大小超过 maxMemory,那么剩下的部分将存储在系统的临时文件中。
通过 r.FormFile 获取文件句柄,然后对文件进行存储等处理。
http.HandleFunc("/upload", upload)
func upload(w http.ResponseWriter, r *http.Request) {
if r.Method == "GET" {
crutime := time.Now().Unix()
h := md5.New()
io.WriteString(h, strconv.FormatInt(crutime, 10))
token := fmt.Sprintf("%x", h.Sum(nil))
t, _ := template.ParseFiles("upload.gtpl")
t.Execute(w, token)
} else {
// 后续获取非文件字段信息时,无需再执行 `r.ParseForm()`
r.ParseMultipartForm(32 << 20)
file, handler, err := r.FormFile("uploadfile")
if err != nil {
fmt.Println(err)
return
}
defer file.Close()
fmt.Fprintf(w, "%v", handler.Header)
f, err := os.OpenFile("./file/"+handler.Filename, os.O_WRONLY|os.O_CREATE, 0666)
if err != nil {
fmt.Println(err)
return
}
defer f.Close()
io.Copy(f, file)
}
}
客户端上传文件
客户端通过 (multipart.Writer).CreateFormFile 把文件的文本流写入一个缓存中,然后调用 http.Post 把缓存传到服务器。
func main() {
target_url := "http://localhost:9090/upload"
filename := "./test.pdf"
postFile(filename, target_url)
}
func postFile(filename string, targetUrl string) error {
bodyBuf := &bytes.Buffer{}
bodyWriter := multipart.NewWriter(bodyBuf)
fileWriter, err := bodyWriter.CreateFormFile("uploadfile", filename)
if err != nil {
return err
}
bodyWriter.WriteField("username", "jack")
fh, err := os.Open(filename)
if err != nil {
return err
}
defer fh.Close()
_, err = io.Copy(fileWriter, fh)
if err != nil {
return err
}
contentType := bodyWriter.FormDataContentType()
bodyWriter.Close()
resp, err := http.Post(targetUrl, contentType, bodyBuf)
if err != nil {
return err
}
defer resp.Body.Close()
resp_body, err := ioutil.ReadAll(resp.Body)
if err != nil {
return err
}
fmt.Println(resp.Status)
fmt.Println(string(resp_body))
return nil
}
