请问revel 如何预防XSS?

在网上查到:
如何预防XSS

答案很简单,坚决不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的XSS攻击。

目前防御XSS主要有如下几种方式:

过滤特殊字符

避免XSS的方法之一主要是将用户所提供的内容进行过滤,Go语言提供了HTML的过滤函数:

text/template包下面的HTMLEscapeString、JSEscapeString等函数

使用HTTP头指定类型

w.Header().Set(“Content-Type”,”text/javascript”)

这样就可以让浏览器解析javascript代码,而不会是html输出。


于是,照搬操作如下:

 func (c App) Index() revel.Result {
  c.Request.Request.Header.Set("Content-Type","text/javascript")

   fmt.Println(c.Request.Request)

return c.Render()
}

结果提示:
[Upgrade-Insecure-Requests:[1] Content-Type:[text/javascript]

怎样设置呢?

共 0 个回复