Go 的 html/template 包默认通过自动转义防止 XSS,正确使用 {{.UserInput}} 即安全;仅当完全信任内容时才用 template.HTML 和 safeHTML;避免在非 HTML 上下文(如 JS、URL)中直接插入变量,须用对应管道函数;禁止字符串拼接 HTML。
Go 的 html/template 包默认就以防止 XSS 为核心设计目标,只要正确使用(尤其是不绕过自动转义),就能大幅降低 XSS 风险。关键不是“额外加防护”,而是避免无意中破坏它的安全机制。
自动转义是默认且可靠的
html/template 在渲染变量时(如 {{.Name}})会自动对 HTML 特殊字符做转义: → zuojiankuohaophpcn," → " 等。这意味着用户输入的 会被原样显示为纯文本,不会执行。
✅ 正确用法示例:
- 模板中写
{{.UserInput}}—— 安全,自动转义 - Go 代码中传入原始字符串:
t.Execute(w, map[string]string{"UserInput": "—— 没问题,模板负责转义
慎用 template.HTML 和 safe 类型
只有当你**完全信任内容来源**(比如后台管理员编辑的富文本、预定义的静态 HTML 片段),才可绕过转义。Go 提供了显式标记方式,但必须主动选择:
立即学习“go语言免费学习笔记(深入)”;
- 在 Go 代码中将字符串转为
template.HTML类型:template.HTML("Hello") - 在模板中用
{{.TrustedHTML | safeHTML}}(需先导入html/template并确保变量类型为template.HTML) - ⚠️ 绝对不要对用户输入调用
template.HTML()—— 这等于手动开启 XSS 通道
避免在非 HTML 上下文中误用 html/template
它专为生成 HTML 设计,不适用于生成 JavaScript、CSS 或 URL 属性值等上下文。例如:
- ❌ 错误:把用户输入直接放进
onclick="doSomething('{{.JSData}}')"—— 单引号和反斜杠未被 HTML 转义覆盖,可能逃逸 - ✅ 正确做法:用
js函数管道:onclick="doSomething({{.JSData | js}})";或更推荐——用 data 属性 + 外部 JS 处理 - 类似地,URL 地址应使用
{{.URL | urlquery}}或{{.URL | htmlattr}}(取决于位置)
保持数据与模板分离,不拼接 HTML 字符串
不要在 Go 代码里用 fmt.Sprintf 或字符串拼接生成 HTML 片段再传给模板。这容易遗漏转义,也破坏模板的安全边界。
- ❌ 避免:
data := map[string]string{"Content": "然后" + userInput + ""}{{.Content}} - ✅ 推荐:把结构化数据传入,由模板控制结构:
data := map[string]interface{}{"Title": title, "Body": body},模板中分别渲染{{.Title}}和{{.Body}}
安全不是靠事后过滤,而是靠从模板渲染那一刻起就隔离不可信内容。html/template 做好了大部分工作,你只需尊重它的规则、不越权解包、不混用上下文。
