html.EscapeString必须用于将用户输入等不可信内容插入HTML文本内容时,它转义<、>、&、"、'五个字符防XSS,但不适用于属性值、URL等其他上下文。
html.EscapeString 什么时候必须用
只要把用户输入、外部数据或不可信内容直接插入 HTML 模板(比如 template.HTML 类型、fmt.Sprintf 拼接 HTML 字符串、http.ResponseWriter 直接写入)——就必须先过 html.EscapeString。它不是“可选防护”,而是防止 XSS 的最低门槛。
常见错误现象:<script>alert(1)</script> 这种字符串没处理就写进页面,浏览器立刻执行;或者用户昵称里藏了 <img src=x onerror=alert(1)>,一渲染就触发。
- 只对 HTML 文本内容生效(比如
<div>{userInput}</div>中的 {userInput}) - 不适用于 HTML 属性值里的双引号/单引号转义(比如
title="{userInput}"),那里得用html.QuoteString - 不处理 URL 中的恶意协议(如
javascript:alert(1)),URL 需单独校验或白名单过滤
html.EscapeString 和 template 包自动转义的区别
Go 的 html/template 默认会对所有 {{.}} 插值做上下文敏感转义——但它只在模板渲染时生效,且依赖你正确声明变量类型。
容易踩的坑:template.HTML(" <script>") 会跳过转义直接输出,等于主动关掉防护;而 html.EscapeString 是纯函数,无副作用,结果永远安全。
立即学习“go语言免费学习笔记(深入)”;
- 用
html/template时,别轻易用template.HTML包装用户数据 - 手动拼 HTML(比如生成邮件正文、构造内联 SVG)必须自己调
html.EscapeString -
text/template完全不转义,哪怕你写的是 HTML,也得靠自己加html.EscapeString
哪些字符会被 html.EscapeString 转义
它只转义 5 个关键字符:< → ,<code>> → >,& → &," → ",' → '。不多不少,也不处理 Unicode 或控制字符。
注意:它不解决宽字节截断、UTF-7 编码绕过等老旧 XSS 变种,现代浏览器已基本不认这些,但若需兼容极老环境,得额外加 Content-Type: text/html; charset=utf-8 响应头。
- 不会把中文、emoji、空格、换行转义——这些本来就不构成 HTML 结构风险
- 对已转义过的字符串重复调用,会产生双重编码(如
),显示为字面量 <code> - 如果上游数据来自 JSON API,且含
\u003c(即<的 Unicode 转义),html.EscapeString照样能识别并转义
替代方案和边界情况
html.EscapeString 是标准库最轻量、最确定的方案,但某些场景它不够用。
比如你要把用户输入塞进 <input value="...">,只靠 html.EscapeString 不够——因为属性值里双引号本身是分隔符,得用 html.QuoteString 包一层;又比如富文本编辑器输出,不能全转义,得用专门的 HTML sanitizer 库(如 bluemonday)。
-
html.QuoteString用于属性值,返回带双引号包裹的转义字符串(如""hello"") - 不要用
strings.ReplaceAll手动替换<,漏掉&就可能造出被浏览器二次解析 - HTTP 响应头、Cookie 值、JS 字符串内插,都不归
html.EscapeString管,得用对应机制(如json.Marshal、http.SetCookie)
真正难的从来不是调用一个函数,而是判断“这段数据到底会在哪一层、哪种上下文中被解释”——HTML 转义只是其中一环,漏掉属性、URL、JS、CSS 任一上下文,XSS 就可能复活。
