最近撸了个 go 过滤 xss 库 go-xss,发现官方库的 regexp 效率有待提高
nodesolar 2021-01-13 09:22:39 +08:00 3563 次点击这是一个创建于 1777 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://github.com/feiin/go-xss 发现官方库的 regexp 效率有待提高
 | 1 maja 2021-01-13 09:51:58 +08:00 xss 应该在 render 的时候防范而不是 input 。 |
 | 2 MonoBiao 2021-01-13 09:52:19 +08:00 hyperscan ? |
 | 4 nodesolar OP 看需求了 有些场景 input 就要过滤下 |
| 5 maja 2021-01-13 10:04:49 +08:00 input 做 xss filter 是万恶之源。 何况用 regex 做 xss filter.... |
 | 6 reus 2021-01-13 10:21:55 +08:00 正确做法是用标准库的 encoding/xml,然后用 Decoder.Token 读出 token 流,然后过滤,然后用 Encoder.EncodeToken 生成文本。 用正则解析 html 是错误做法。追求性能前,先保证正确性吧。 |
| 7 nodesolar OP 也不是完全正则,按字符在解析的. |
 | 8 keepeye 2021-01-13 10:28:32 +08:00 go 的正则库貌似不支持 ?! 语法,原因据说是因为影响效率.. |
 | 10 Mitt 2021-01-13 15:01:50 +08:00 xss 在后端过滤还是在前端过滤的话题只要一开 每次都能吵起来,我是觉得后端能做的太少了,绕过的可能性也很大,前端反而有更多控制手段 |
Select Language