Golang 1.20.4发布(修复html/template包的三个安全问题)

最新推荐文章于 2024-11-05 08:53:46 发布
最新推荐文章于 2024-11-05 08:53:46 发布
阅读量284 收藏
点赞数
分类专栏: Golang新版本发布信息 文章标签: 安全 开发语言 后端 golang go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/130516954
版权
Go1.20.4版本针对html/template包修复了三个安全问题,包括CSS值处理不当可能导致HTML代码注入,JavaScript空格处理不正确影响执行,以及HTML空属性处理错误引起解析异常。这些问题都涉及到潜在的安全风险,需要用户更新到最新版本以确保安全性。
摘要由CSDN通过智能技术生成

Go 1.20.4 主要修复了html/template包的三个安全问题。

html/template包用途

html/template包提供了一种将Go语言代码与HTML模板相结合的方法,可以动态生成HTML页面。

修复的三个安全问题

  • 对CSS值处理不当 (CVE-2023-24539),当插入到CSS上下文中时,尖括号 (<>) 被认为是非危险字符。解析包含由 '/' 分隔的并且有多个操作的模板时可能导致CSS上下文被关闭,如果对输入没有做严格校验,有HTML代码注入风险。
  • 对JavaScript空格处理不当 (CVE-2023-24540),并非所有有效的JavaScript空白字符都被认为是空白。在JavaScript上下文中,包含字符集 "\t\n\f\r\u0020\u2028\u2029" 之外的空白字符的模板,在执行期间可能无法去除空白字符。
  • 对HTML空属性处理不当 (CVE-2023-29400),html模版中,未加引号的属性中包含了actions (例如:"attr={{.}}") 的话,在空输入下执行可能会导致解析异常。

路多辛
关注
专栏目录
golang.org/x/sys/unix: unrecognized
关于代码的那些事
04-04 1万+
安装的过程报错: package golang.org/x/sys/unix: unrecognized import path "golang.org/x/sys/unix" (https fetch: Get https://golang.org/x/sys/unix?go-get=1: dial tcp 216.239.37.1:443: i/o timeout) 被长城墙了,您可以这...
golanghtml模板,Golang下的html/template模块使用
weixin_39935903的博客
06-28 1538
关于template模板Golang语言提供了两个text/templatehtml/template,前者主要用来处理文本文件的变量渲染,而后者主要用于对html之类的网页文件进行渲染。由于最近在使用gin框架编写REST API,顺便学习template的使用,再此记录一下。html/template常用的对象和方法template模板的使用主要是在对Template结构体的相关方法进行...
Ubuntu_Go环境搭建(1.20.4版本)
LFZ的博客
05-04 773
1.Terminal下。4.测试安装是否成功。
golang1.20.4导入自定义
lovezhyzhy的博客
05-22 275
golang1.20.4版本导入自定义步骤
golang 1.20正式发布,更好更易更强
文洲的专栏
02-09 5390
预期中的Go 2不会有了,1.20也算是一个小gap,从中可以一窥Go未来的发展之路。对于Go来说,未来保持1.x持续演进和兼容性之外,重点就是让Go性能更优,同时保持大道至简原则,使用尽可能容易,从这两个方面带大家看看你1.20值得关注的特性。
Go 1.20新变化!第一部分:语言特性
Go中国
01-20 2584
又到了 Go 发布新版本的时刻了!2022 年第一季度的 Go 1.18 是一个主版本,它在语言中增加了期待已久的泛型,同时还有许多微小功能更新[1]与优化[2]。2022 年第三季度的 Go 1.19 是一个比较低调[3]的版本。现在是 2023 年,Go 1.20 RC 版本[4]已经发布,而正式版本也即将到来,Go 团队已经发布了版本说明草案[5]。在我看来,Go 1.20 的影响介于 1....
Golang SDK1.20.6 zip解压缩版
07-27
Go 1.20.6是该系列的一个稳定版本,可能含了之前版本的错误修复、性能优化或新特性。 4. **Zip格式**:一种常见的文件压缩格式,可以将多个文件和目录打成一个单一的.zip文件,便于传输和存储。在Windows、...
golang.org:解决某人不能访问golang.org但对“ golang.orgxnethtml”有需求的问题
05-21
当使用goquery或其他程序时,可能会出现“找不到程序golang.org/x/net/html”的问题。可以使用以下两种方法来解决此问题。 方法1: go get golang.org/x/net/html 方法2: 步骤1: cd $GOPATH 第2步: ...
go1.20.4-windows Go 语言环境安装
05-16
Windows 下可以使用 .msi 后缀(在下载列表中可以找到该文件,如go1.4.2.windows-amd64.msi)的安装来安装。 默认情况下 .msi 文件会安装在 c:\Go 目录下。你可以将 c:\Go\bin 目录添加到 Path 环境变量中。...
Go升级1.20后Goland 无法Debug
07-10
Go升级至1.20.4,使用Goland进行Debug时,断点无法调试
Go最新版下载 Go1.20版新特性
王中阳的博客
02-08 3814
最新的 Go 版本 1.20 在Go 1.19发布六个月后发布。它的大部分更改都在工具链、运行时和库的实现中。一如既往,该版本保持了 Go 1的兼容性承诺。我们期望几乎所有的 Go 程序都能像以前一样继续编译和运行。
Go 1.20要来了,看看都有哪些变化-第1篇
perfume
12-13 3006
Go官方团队在2022.12.08发布了Go 1.20 rc1(release candidate)版本,Go 1.20的正式release版本预计会在2023年2月份发布。让我们先睹为快,看看Go 1.20给我们带来了哪些变化。(文末有彩蛋!)这是Go 1.20版本更新内容详解的第1篇,欢迎大家关注公众号,及时获取本系列最新更新。下一篇会介绍Go 1.20在Go Tool工具链、运行时、编译器、汇编器、链接器和核心库的优化工作,有一些内容值得学习,欢迎大家保持关注。
安装Go和开发工具
weixin_46042817的博客
05-09 446
安装Go语言、安装GoLang开发工具、打印第一个Hello Word
golang入门文档(持续更新)
ispaomoya博客
04-18 4690
golang入门,go基本语法,go基础,go搭建环境,持续更新go
centos7安装golang1.20
tokenHAHA的博客
02-24 1606
centos7安装golang
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)
daopuyun的博客
11-04 503
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
Neo4j数据库清理指南:如何安全地删除所有节点和索引
最新发布
engchina的专栏
11-05 249
Neo4j数据库清理指南:如何安全地删除所有节点和索引
Linux系统安全配置
qq_24442273的博客
10-28 1251
【代码】Linux系统安全配置。
Golang 1.20.6 SDK 压缩解压指南
资源摘要信息:"Golang SDK1.20.6 zip解压缩版是Go语言官方提供的一个版本,含了该语言运行时、编译器、标准库等重要组件。SDK表示软件开发工具(Software Development Kit),是开发者在开发软件时不可或缺的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值