V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
The Go Programming Language
http://golang.org/
Go Playground
Go Projects
Revel Web Framework
beego
nodesolar
V2EX  ›  Go

最近撸了个 go 过滤 xss 库 go-xss,发现官方库的 regexp 效率有待提高

  •  
  •   nodesolar · 14 天前 · 1417 次点击
    https://github.com/feiin/go-xss 发现官方库的 regexp 效率有待提高
    11 条回复    2021-01-15 13:54:28 +08:00
    maja
        1
    maja   14 天前
    xss 应该在 render 的时候防范而不是 input 。
    MonoBiao
        2
    MonoBiao   14 天前
    hyperscan ?
    hanssx
        3
    hanssx   14 天前
    @maja 像富文本这种预先就定义好语义的,是不是在 input(source)比较好呢
    nodesolar
        4
    nodesolar   14 天前
    看需求了 有些场景 input 就要过滤下
    maja
        5
    maja   14 天前
    input 做 xss filter 是万恶之源。

    何况用 regex 做 xss filter....
    reus
        6
    reus   14 天前
    正确做法是用标准库的 encoding/xml,然后用 Decoder.Token 读出 token 流,然后过滤,然后用 Encoder.EncodeToken 生成文本。
    用正则解析 html 是错误做法。追求性能前,先保证正确性吧。
    nodesolar
        7
    nodesolar   14 天前
    也不是完全正则,按字符在解析的.
    keepeye
        8
    keepeye   14 天前
    go 的正则库貌似不支持 ?! 语法,原因据说是因为影响效率..
    nodesolar
        9
    nodesolar   14 天前
    @keepeye 是的 re2 引擎不支持
    Mitt
        10
    Mitt   14 天前
    xss 在后端过滤还是在前端过滤的话题只要一开 每次都能吵起来,我是觉得后端能做的太少了,绕过的可能性也很大,前端反而有更多控制手段
    nodesolar
        11
    nodesolar   12 天前
    @Mitt 哈哈哈
    PHP 是世界最好的语言.
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1211 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 19:47 · PVG 03:47 · LAX 11:47 · JFK 14:47
    ♥ Do have faith in what you're doing.