美文网首页
跟我一起学习GO语言014-表单操作-数据验证

跟我一起学习GO语言014-表单操作-数据验证

作者: 搬砖人1314 | 来源:发表于2019-10-13 08:43 被阅读0次

    上一节我们讲了常用输入的验证,接下来我们看看关于安全方面的验证,怎么预防和验证的。

    现在的Web(网站等)应用程序包含大量的动态内容来提高用户体验,比过去复杂很多,动态站点会收到来自各自安全方面的考验,其中一种叫做跨脚本攻击(Cross Site Scripting 简称:XSS),攻击者通常会在程序中插入Javascript、VBScript、Active或Flash以欺骗用户。一旦成功,他们可以盗取用户信息,修改用户设置,盗取相应信息。

    对XSS上一节我们介绍了一种验证所有输入数据,有效检测攻击;另外是对所有数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行。

    Go语言中利用html/template中的几个函数帮我们转义。

    func HTMLEscape(wio.writer,b [] byte) //把b进行转义之后写到w

    funcHTMLEscapeString( s string) string //转义s之后返回结果字符串

    func HTMLEscaper(args…interface{})string//支持多个参数一起转义,返回结果字符串。

    例子1:

    fmt.Println(“name:”,template.HTMLEscapeString(r.Form.Get(“name”)))//输出到服务端-姓名

    fmt.Println(“passwor:”,template.HTMLEscapeString(r.Form.Get(“password”)))//输出到服务端-密码

    template.HTMLEscape(w,[]byte(r.Form.Get(“name”)))//输出到客户端

    如果我们在姓名输入框中输入的内容为alert(),我们可以在浏览器上面看看输出结果是?<script>alert()</script>这是Javascript过滤之后的输出,如果我们需要显示未过滤的的信息呢?

    例子2:

    import “text/template”

    t,err:=template.New(“foo”).Parse(‘{{define “T”}} Hello,{{.}}{{end}}’)

    err= t.ExecuteTemplate(out,”T”,”<script>alert(‘Haodo you do?’)</script>”)

    输出:Hello,alert(‘Hao do you do?’)

    也可以使用template.HTML类型:

    例子3:

    import “text/template”

    t,err:=template.New(“foo”).Parse(‘{{define “T”}} Hello,{{.}}{{end}}’)

    err= t.ExecuteTemplate(out,”T”,template.HTML(”<script>alert(‘Haodo you do?’)</script>”))

    输出:Hello,alert(‘Hao do you do?’)

    下面我们看看Go语言中怎么防止重复提交,操作习惯有的喜欢双击鼠标重复提交,有的故意为之,在投票操作中这种比较常见。

    Go语言中常见的两种方式,第一种是在表单添加一个带有唯一隐藏字段。在验证表单时,先检查带有唯一值的表单是否已经提交过了。如果已经提交过了,就拒绝再次提交;如果没有,则处理表单内容。第二种方式采用Ajax模式提交表单,当表单提交后,通过javascript来禁用表单的递交按钮。

    例子4-Html代码:

    <html>

    <head>

    <title>登陆<title>

    </head>

    <body>

    <form action=”http://127.0.0.1:9090/login”method=”post”>

    <inputtype=”radio” name=”gender” value=”1”> 男

    <inputtype=”radio” name=”gender” value=”2”> 女

    用户名:<input type=”text”name=”username”>

      密码:<input type=”password” name=”password”>

    <input type=”hidden” name=”token” value=”{{.}}”>

      <input type=”submit” value=”登陆”>

    </body>

    </html>

    例子4-服务器端代码:

    fucn login(w http.ResponseWriter,r*http.Request){

           fmt.Println(“method:”,r.Method)//获取请求的方法

           if r.Method==”GET”{

                  crutime:=time.Now().Unix()

                  h:=md5.New()

                  io.WritheString(h,strconv.FormatInt(crutime,10))

                  token:=fmt.Sprintf(“%x”,h.Sum(nil))

                  t,_:=template.ParseFiles(“login.gtpl”)

                  t.Execute(w,token)

    }else{

           //请求的登陆数据,那么执行登陆的逻辑判断

           r.ParseForm()

           token:=r.Form.Get(“token”)

           if token!=””{

                  //验证token的合法性

    }else{

           //不存在token报错

    }

    fmt.Println(“username length:”,len(r.Form[“username”][0]))

    //输出到服务器端

    fmt.Println(“username:”,template.HTMLEscapeString(r.Form.Get(“username”)))

    fmt.Println(“password:”,template.HTMLEscapeString(r.Form.Get(“password”)))

    }

    }

    在增加token之后客户端输出的源码,token字段的值:<input type=”hidden” name=”token” value=”eff540df8eacc98662563b95af608f5f”>利用隐藏字段token然后通过MD5来获取唯一值,保持表单唯一性。本节就到这,持续的学习与实践才是我们前进的路,加油吧!

    请开始你的表演,践行,践行,再践行。未完待续。。。

    相关文章

      网友评论

          本文标题:跟我一起学习GO语言014-表单操作-数据验证

          本文链接:https://www.haomeiwen.com/subject/zjrhmctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|跟我一起学习GO语言014-表单操作-数据验证|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!