本文探讨了Go语言中的模板注入问题,介绍了Go语言的基础语法,如变量声明、常量、循环语句以及模板引擎。重点讲解了Go的html/template和text/template模块在防止XSS攻击中的作用。通过示例代码,展示了模板注入的漏洞点,如信息泄露和RCE风险,并提出了防御策略,包括使用数据映射和内置转义函数。
Go语言下的模板注入:
这差不多应该是模板注入系列的最后一篇文章了,最近去打了华东北赛区的线下,结果被打爆了,java和go让不会的孩子太坐牢了,于是就想到了,最后一篇有关模板注入的系列就以go语言结尾吧,同样也是开头,暑假开始学java和go。
go语言基础:
首先还是结合菜鸟教程先来学习一下go语言的基本语法,简单熟悉一下go的语言:
package main
import “fmt”
func main(){//需要注意的是 { 不能单独放在一行,所以以下代码在运行时会产生错误:
/* 这是我的第一个简单的程序 */
fmt.Println(“Hello,World!”)
}
- 第一行代码 package main 定义了包名。你必须在源文件中非注释的第一行指明这个文件属于哪个包,如:package main。package main表示一个可独立执行的程序,每个 Go 应用程序都包含一个名为 main 的包。
- 下一行 import “fmt” 告诉 Go 编译器这个程序需要使用 fmt 包(的函数,或其他元素),fmt 包实现了格式化 IO(输入/输出)的函数。
- 下一行 func main() 是程序开始执行的函数。main 函数是每一个可执行程序所必须包含的,一般来说都是在启动后第一个执行的函数(如果有 init() 函数则会先执行该函数)。
- 下一行 fmt.Println(…) 可以将字符串输出到控制台,并在最后自动增加换行字符 \n。使用 fmt.Print(“hello, world\n”) 可以得到相同的结果。
- Print 和 Println 这两个函数也支持使用变量,如:fmt.Println(arr)。如果没有特别指定,它们会以默认的打印格式将变量 arr 输出到控制台。
当标识符(包括常量、变量、类型、函数名、结构字段等等)以一个大写字母开头,如:Group1,那么使用这种形式的标识符的对象就可以被外部包的代码所使用(客户端程序需要先导入这个包),这被称为导出(像面向对象语言中的 public);标识符如果以小写字母开头,则对包外是不可见的,但是他们在整个包的内部是可见并且可用的(像面向对象语言中的 protected )。
Go 标记:
Go 程序可以由多个标记组成,可以是关键字,标识符,常量,字符串,符号。如以下 GO 语句由 6 个标记组成:
fmt.Println(“Hello, World!”)
6 个标记是(每行一个):
- fmt
- .
- Println
- (
- “Hello, World!”
- )
格式化字符串
Go 语言中使用 fmt.Sprintf 或 fmt.Printf 格式化字符串并赋值给新串:
Sprintf 根据格式化参数生成格式化的字符串并返回该字符串。
Printf 根据格式化参数生成格式化的字符串并写入标准输出。
Sprintf 实例
package main
import (
“fmt”
)
func main() {
// %d 表示整型数字,%s 表示字符串
var stockcode=123
var enddate=“2020-12-31”
var url=“Code=%d&endDate=%s”
var target_url=fmt.Sprintf(url,stockcode,enddate)
fmt.Println(target_url)
}
输出结果为:
Code=123&endDate=2020-12-31
Printf 实例
package main
import (
“fmt”
)
func main() {
// %d 表示整型数字,%s 表示字符串
var st
最低0.47元/天 解锁文章
5373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
