go实践二十 web开发--表单唯一token 表单验证 防止xss攻击 上传文件 cookie处理

最新推荐文章于 2023-05-23 18:14:07 发布
最新推荐文章于 2023-05-23 18:14:07 发布
阅读量779 收藏
点赞数
分类专栏: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daily886/article/details/100558802
版权

新建一个 testform2.gtpl 文件,内容如下:

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>修改资料</title>
</head>
<body>
<form action="/info" method="post" enctype="multipart/form-data">
    头像:<input type="file" name="userheader">
    <br>
    用户名:<input type="text" name="username">
    <br>
    密码:<input type="password" name="password">
    <br>
    年龄:<input type="text" name="age">
    <br>
    邮箱:<input type="text" name="email">
    <br>
    手机号码:<input type="text" name="mobile">
    <br>
    身份证号码:<input type="text" name="usercard">
    <br>
    测试xss:<input type="text" name="xss">
    <br>
    性别:
    <select name="sex" >
        <option value="0">无</option>
        <option value="1">男</option>
        <option value="2">女</option>
    </select>
    <br>
    兴趣:
    <br>
    <input type="checkbox" name="interest" value="no">无
    <input type="checkbox" name="interest" value="football">足球
    <input type="checkbox" name="interest" value="basketball">篮球
    <input type="checkbox" name="interest" value="tennis">网球
    <br>
    <input type="hidden" name="token" value="{{.}}">
    <input type="submit" value="提交">
</form>
</body>
</html>

新建一个 testform2.go 文件,内容如下:

package main

import (
	"fmt"
	"crypto/md5"
	"html/template"
	texttemplate "text/template"
	"io"
	"os"
	"log"
	"time"
	"net/http"
	"strconv"
	"regexp"
	"unicode"
)



//判断是否在切片中
func In_slice(val string, slice []string) bool {
	for _, v := range slice {
		if v == val {
			return true
		}
	}
	return false
}
//判断两个切片的差异
//返回差异的数组
func Slice_diff(slice1, slice2 []string) (diffslice []string) {
	for _, v := range slice1 {
		if !In_slice(v, slice2) {
			diffslice = append(diffslice, v)
		}
	}
	return
}


func sayhelloName(w http.ResponseWriter,r *http.Request)  {
	//下面这个写入到w 的是输出到客户端的
	fmt.Fprintf(w,"hello testform2.go")
}

//验证表单输入
func info(w http.ResponseWriter,r *http.Request)  {
	fmt.Println("method:",r.Method) //获取请求的方法
	if r.Method == "GET"{
		curtime := time.Now().Unix()
		h := md5.New()
		io.WriteString(h,strconv.FormatInt(curtime,10))
		token := fmt.Sprintf("%x",h.Sum(nil)) //生成token

		//设置cookie
		expiration := time.Now()
		expiration = expiration.AddDate(1, 0, 0)
		cookie := http.Cookie{Name: "username", Value: "go-cookie", Expires: expiration}
		http.SetCookie(w, &cookie)

		t,_ := template.ParseFiles("testform2.gtpl")
		t.Execute(w,token) //把token 写入到模板中
	}else{
		//读取cookie
		cookie, _ := r.Cookie("username")
		fmt.Println("cookie:",cookie)

		//防止多次重复提交表单
		//解决方案是在表单中添加一个带有唯一值的隐藏字段。
		// 在验证表单时,先检查带有该唯一值的表单是否已经递交过了。
		// 如果是,拒绝再次递交;如果不是,则处理表单进行逻辑处理。
		res1 := verifyToken(w,r)
		if !res1 {
			return
		}

		//表单验证
		res2 := formValidate(w,r)
		if !res2 {
			return
		}

		//预防跨站脚本
		res3 := xss(w,r)
		if !res3 {
			return
		}

		//获取上传文件
		res4 := uploadHandler(w,r)
		if !res4{
			return
		}

	}

}
//防止多次重复提交表单
func verifyToken(w http.ResponseWriter,r *http.Request) bool{
	//r.ParseForm() //普通表单

	r.ParseMultipartForm(32<<20) //加入了 enctype="multipart/form-data" 的表单
	token := r.Form.Get("token")
	fmt.Println("token:",token)
	if token != ""{
		// 验证 token 的合法性
		if len(token) <10{
			fmt.Fprintf(w,"token验证失败")
			return false
		}
		fmt.Fprintf(w,"token验证通过")
	}else{
		//不存在token 报错
		fmt.Fprintf(w,"token验证失败")
		return false
	}
	fmt.Fprintf(w,"\n")
	return true
}

//表单验证
func formValidate(w http.ResponseWriter,r *http.Request) bool{
	//r.ParseForm()       //解析url传递的参数,对于POST则解析响应包的主体(request body)

	r.ParseMultipartForm(32<<20) //加入了 enctype="multipart/form-data" 的表单

	//请求的是登录数据,name执行登录的逻辑判断
	fmt.Println("username:",r.Form["username"])
	fmt.Println("password:",r.Form["password"])
	fmt.Println("age:",r.Form["age"])
	fmt.Println("email:",r.Form["email"])
	fmt.Println("mobile:",r.Form["mobile"])
	fmt.Println("sex:",r.Form["sex"])
	fmt.Println("interest:",r.Form["interest"])
	fmt.Println("usercard:",r.Form["usercard"])

	//验证表单数据--------------------------------------------------------
	//必填字段
	if len(r.Form["username"][0]) == 0{
		//返回到客户端
		fmt.Fprintf(w,"用户名不能为空")
		return false
	}
	//unicode判断中文
	for _, val := range r.Form.Get("username"){
		if unicode.Is(unicode.Scripts["Han"], val) {
			//有中文
			fmt.Fprintf(w,"unicode姓名不能有中文\n")
		}
	}
	//正则判断中文
	chiReg := regexp.MustCompile("[\u4e00-\u9fa5]+")
	for _, val := range r.Form.Get("username") {
		if chiReg.MatchString(string(val)){
			//有中文
			fmt.Fprintf(w,"regexp姓名不能有中文\n")
			return false
		}
	}

	//判断英文
	match2,_ := regexp.MatchString("^[a-zA-Z]+$",r.Form.Get("username"))
	if !match2{
		fmt.Fprintf(w,"姓名只能是英文字母")
		return false
	}


	//使用转化判断数字
	getint,err := strconv.Atoi(r.Form.Get("age"))
	if err != nil{
		//数字转化出错了,那么可能就不是数字了
		fmt.Fprintf(w,"strconv年龄只能是数字\n")
	}
	//使用正则判断数字 ,应该尽量避免使用正则表达式,因为使用正则表达式的速度会比较慢
	m,_ := regexp.MatchString("^[0-9]+$",r.Form.Get("age"));
	if !m {
		fmt.Fprintf(w,"regexp年龄只能是数字\n")
		return false
	}

	//判断数字的大小范围
	if getint > 200{
		fmt.Fprintf(w,"年龄不能大于200")
		return false
	}


	//判断电子邮件
	match3,_ := regexp.MatchString(`^([\w\.\_]{2,})@(\w{1,})\.([a-z]{2,4})$`,r.Form.Get("email"))
	if !match3{
		fmt.Fprintf(w,"电子邮箱格式不正确")
		return false
	}

	//判断手机号码
	match4,_ := regexp.MatchString(`^1[0-9][0-9]\d{8}$`,r.Form.Get("mobile"))
	if !match4{
		fmt.Fprintf(w,"手机号码不正确")
		return false
	}

	//判断身份证号码
	//15位 或18位
	usercard := r.Form.Get("usercard")
	match5,_ := regexp.MatchString(`^(\d{15})$`,usercard)
	match6,_ := regexp.MatchString(`^(\d{17})([0-9]|X)$`,usercard)
	fmt.Println(usercard)
	fmt.Println(len(usercard))
	fmt.Println(!match6)
	if len(usercard) <= 15 && !match5{
		fmt.Fprintf(w,"身份证不正确")
		return false
	}else if len(usercard) > 15 && !match6{
		fmt.Fprintf(w,"身份证不正确")
		return false
	}

	//判断下拉菜单的值是否符合预设值
	sex_slice := []string{"1","2"}
	sex_value := r.Form.Get("sex")
	is_set := 0 //是否符合预设值 ,1 是,0否
	for _,val := range sex_slice{
		if sex_value == val{
			is_set = 1
		}
	}
	if is_set == 0{
		fmt.Fprintf(w,"性别不正确")
		return false
	}

	//判断复选框
	interest_slice := []string{"football","basketball","tennis"}
	interest := r.Form["interest"]
	array := Slice_diff(interest,interest_slice)
	fmt.Println("interest:",array)
	if array != nil{
		//有差异
		fmt.Fprintf(w,"兴趣选择不正确")
		return false
	}
	return true
}

//预防跨站脚本
func xss(w http.ResponseWriter,r *http.Request) bool{
	//template.HTMLEscape(w io.Writer, b []byte) //把b进行转义之后写到w
	//template.HTMLEscapeString(s string) string //转义s之后返回结果字符串
	//template.HTMLEscaper(args ...interface{}) string //支持多个参数一起转义,返回结果字符串

	//输出到服务器端
	fmt.Println("xss:", template.HTMLEscapeString(r.Form.Get("xss")))

	//转义后输出到客户端
	template.HTMLEscape(w, []byte(r.Form.Get("xss")))
	fmt.Fprintf(w, "\n") //换行

	//转义后输出到客户端
	t,err := template.New("foo").Parse(`{{define "T"}}hello,{{.}}!{{end}}`)
	err = t.ExecuteTemplate(w,"T","<script>alert('you have been pwned')</script>")
	if err != nil{
		fmt.Println(err)
	}
	fmt.Fprintf(w, "\n") //换行

	//使用 text/template 完全输出到客户端
	t1,err1 := texttemplate.New("foo").Parse(`{{define "T"}}hello,{{.}}!{{end}}`)
	err1 = t1.ExecuteTemplate(w,"T","<script>alert('you have been pwned')</script>")
	if err1 != nil{
		fmt.Println(err1)
	}
	fmt.Fprintf(w, "\n") //换行

	//使用 html/template template.HTML 完全输出到客户端
	t2, err2 := template.New("foo").Parse(`{{define "T"}}hello,{{.}}!{{end}}`)
	err2 = t2.ExecuteTemplate(w,"T",template.HTML("<script>alert('you have been HTML')</script>"))
	if err2 != nil{
		fmt.Println(err2)
	}
	return true
}

//获取上传文件
func uploadHandler(w http.ResponseWriter,r *http.Request) bool{
	//通过上面的代码可以看到,处理文件上传我们需要调用r.ParseMultipartForm,
	// 里面的参数表示maxMemory,调用ParseMultipartForm之后,
	// 上传的文件存储在maxMemory大小的内存里面,
	// 如果文件大小超过了maxMemory,那么剩下的部分将存储在系统的临时文件中。
	// 我们可以通过r.FormFile获取上面的文件句柄,然后实例中使用了io.Copy来存储文件。
	r.ParseMultipartForm(32<<20)
	file,handler,err := r.FormFile("userheader")
	//文件的handler 是multipart.FileHeader ,里面存储了如下结构信息
	/*
	type FileHeader struct{
		Filename string
		Header textproto.MIMEHeader
		//contains filtered or unexported fields
	}
	*/
	if err != nil{
		fmt.Println(err)
		return false
	}
	defer file.Close()
	fmt.Fprintf(w,"%v",handler.Header)
	f,err := os.OpenFile("./"+handler.Filename,os.O_WRONLY|os.O_CREATE,0777)
	if err != nil{
		fmt.Println(err)
		return false
	}
	defer f.Close()
	io.Copy(f,file)

	return true
}

func main() {
	http.HandleFunc("/",sayhelloName) //设置路由
	http.HandleFunc("/info",info) //设置路由
	err := http.ListenAndServe(":6665",nil) //设置监听的端口
	if err != nil{
		log.Fatal("ListenAndServe:",err)
	}
}

运行 testform2.go ,启动服务器 :

[root@izj6c4jirdug8kh3uo6rdez goweb]# go run testform2.go

浏览器运行 http://域名:6665/info  ,输入数据后提交,客户端显示:

token验证通过
&lt;script&gt;alert(123);&lt;/script&gt;
hello,&lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
hello,<script>alert('you have been pwned')</script>!
hello,<script>alert('you have been HTML')</script>!map[Content-Disposition:[form-data; name="userheader"; filename="a435c26724359a53730a52d919f106a4.png"] Content-Type:[image/png]]

服务器端即可看到表单参数:

method: POST
token: 11112bd3ffe4ba8ddaea713ef49f9806
username: [awef]
password: []
age: [3]
email: [123@qq.com]
mobile: [12312345678]
sex: [1]
interest: [football]
usercard: [123456789123456123]
123456789123456123
18
false
interest: []
xss: &lt;script&gt;alert(123);&lt;/script&gt;

参考:https://www.golang123.com/book/9?chapterID=158

daily886
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
axios vue 表单验证_vue 实现axios拦截、页面跳转和token 验证
weixin_39953102的博客
01-17 246
第一步: 路由 多添加一个自定义字段 requireAuthpath: '/repository',name: 'repository',meta: {requireAuth: true, // 添加该字段,表示进入这个路由是需要登录的},component: Repository第二步:router.beforeEach((to, from, next) => {if (to.meta.r...
Token验证
大象
07-07 5592
Token:令牌。 参考:http://blog.csdn.net/sum_rain/article/details/37085771 http://www.360doc.com/content/13/0509/08/10504424_284048407.shtml 1. 作用:防止表单重复提交;anti-csrf攻击(跨站点请求伪造) 2. 原理:通过session token实现。当
php 表单提交token,PHP表单增加token验证防止站外及重复提交
weixin_29119159的博客
03-11 299
token用于常用的表单防止重复提交及站外提交的一个常用的处理方式了,下文我们一起来看一个PHP表单增加token验证防止站外及重复提交例子。原理在于生成一个随机字符串放在session里。提交表单后来验证这个字符串。可以做到防止他人自己写form来欺骗提交,重复提交或者双击提交。Token.php/** Created on 2013-3-25** To change the template...
XSS(跨站脚本攻击)详解 (下)
我不生产数据,只是数据的搬运工
02-03 784
XSS(跨站脚本攻击)详解 (下) Hack9月5日 XSS漏洞的简单攻击测试 反射型XSS: 先放出源代码 //前端 1.html:<html><head lang="en"> <meta charset="UTF-8"> ...
解决表单重复提交的解决方案——在服务端对Token进行验证
qq_43732691的博客
12-26 1014
解决表单重复提交的解决方案——在服务端对Token进行验证 1、在idea中建立一个springboot项目 2、在templates目录下建立一个index.html文件 <!DOCTYPE html> <html lang="en" xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:contex...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
为了防止CSRF,Web应用通常会使用csrf-token,一个随机且唯一的字符串,将其包含在表单提交中,服务器通过检查这个token验证请求来源的合法性。然而,如果这个token可以被攻击者获取,那么攻击者就可以构造伪造的...
Laravel开发-cookie
08-28
Laravel的`VerifyCsrfToken`中间件会自动处理CSRF保护,它会在每个响应中设置一个名为`XSRF-TOKEN`的Cookie,然后在表单提交验证对应的`_token`字段。 通过理解并熟练运用以上知识点,你将在Laravel开发中更好地...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
【CSRF(Cross-site request forgery)攻击】CSRF攻击利用用户已登录的身份,通过诱导用户点击含有恶意请求的链接或表单,执行非用户意愿的操作。防范CSRF通常需要使用CSRF Token,这是一个随机生成的、一次性的令牌...
fatone:Web开发-源码
05-03
这个项目或教程的核心是利用JavaScript语言来处理用户的身份验证和授权问题,这对于任何需要用户登录、注册或者有权限管理的Web应用来说都是至关重要的。 用户认证是Web应用程序的基本组成部分,它确保只有合法的...
PHP经典实例--表单
04-20
本文将深入探讨在PHP中处理验证表单输入的方法,以及如何处理多页表单、显示错误信息、防范跨站脚本(XSS)攻击和防止同一表单多次提交等问题。 首先,表单是用户与Web应用交互的主要方式,它们用于收集用户数据...
基于 Token 的身份验证
xiyou222的博客
03-15 484
基于 Token 的身份验证最近了解下基于Token的身份验证,跟大伙分享下。很多大型网站也都在用,比如Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token扩展性更强,也更安全点,非常适合用在Web应用或者移动应用上。Token的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。传统身份验证的方法HTTP是一种没有状态的...
Token Hijacking with XSS
chuancuili8770的博客
01-14 152
译者:BlAck.Eagle 首先感谢每位读这篇文章的朋友,我选择“Token Hijacking with XSS”作为标题,并且我将会讲述对于用“anti-csrf”令牌保护的web程序的利用。(也就是突破token保护,继续csrf) .... 正如我所说,我们通过跨站...
有效避免SQL注入、XSS跨站和上传攻击
weixin_47811210的博客
05-07 456
sql注入解决办法 内联式和终止式 登陆账号输入单引号‘’,如果显示错误表示可以通过sql注入,账号提交永真语句测试能否绕过登陆界面成功登录。‘or 1=1–’ 解决办法:执行sql语句,用preparedstatement();代替statement();可以防止永真进入,同将sql语句由字符串拼接的方式改为占位符填充。 补充:access数据库不支持注释,相对安全点。 XSS跨站解决办法 反射型和存储型: 在网站的留言界面上传html语句,由于html中的<和>在浏览器解
正确采取Xss攻击防御措施
zollty的专栏
01-13 2146
灵魂拷问:到底怎么做防XSS攻击才是最佳方案?网上那些拦截器方案靠谱吗? Xss攻击说明: 1、攻击者准备 恶意html/javascript代码片段,该代码最终会被嵌入到被攻击服务器加载的页面上。 2、恶意html/js代码,在用户不知情的情况下被执行,以该登录用户的身份执行敏感操作或获取敏感数据后发送给攻击者。 举例如下: 有个文章编辑页面,可以编写任意html/js代码。攻击者在里面嵌入了恶意js。 文章被提交保存后,下次显示出来,执行该恶意js,从而获...
XSS的防御方法解析
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
01-06 906
XSS漏洞的总体防御原则: 输入做过滤,输出做转义 1、用户输入过滤 对用户输入的script等HTML标签和一些JS关键字进过滤。常见的过滤方法由白名单和黑名单两种。 其中Java的JSOUP采用了白名单的方式对用户的输入进行了过滤,在使用需要指定一个可配置的Whitelist。在JSOUP中提供了一系列的Whitelist基本配置,能够满肚大多数的过滤要求,在有必要的情况下也可以自己配修改配置。 此外还有OWASP ESAPI也能较好的防御XSS漏洞。 2、转义输入与输出的特殊字符 在HTML中,&l
Http基础二 Web安全简介 SQL注入 XSS CSRF(token)
TheClimb的池塘
12-19 441
参考Web安全之SQL注入攻击技巧与防范总结 XSS 与 CSRF 两种跨站攻击CSRF的攻击与防御CSRF 攻击的应对之道 一、SQL注入 用Web网站中常用的会员登录系统来做一个场景实例。如果输入正确的用户名 plhwin 和密码 123456,执行的SQL语句为:SELECT uid,username FROM user WHERE username='plhwin' AND passw...
如何防止XSS攻击
最新发布
m0_49521873的博客
05-23 6405
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
go实现http服务器的附件上传功能实例
PHP、go程序员实例学习记录
05-15 512
服务器代码 package main import ( "fmt" "html/template" "io" "log" "net/http" "os" ) //上传方法 func upload(w http.ResponseWriter, r *http.Request) { //这里是get请求 if r.Method == "GET" { t, _ := template.Par
XSS跨站攻击注入漏洞解决方案
不积跬步无以至千里
01-23 1106
一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者
文件型Cookie欺骗攻击:Web应用安全威胁解析
"文件型Cookie欺骗攻击是一种网络攻击手段,主要针对web应用,攻击者通过修改用户硬盘上保存的Cookie或直接发送伪造的Cookie信息给服务器来实施攻击。这种攻击方式利用了用户身份验证机制的漏洞,使得攻击者能够假冒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值