https://github.com/feiin/go-xss 发现官方库的 regexp 效率有待提高
This topic created in 1950 days ago, the information mentioned may be changed or developed.
 |
1
maja Jan 13, 2021
xss 应该在 render 的时候防范而不是 input 。
|
 |
2
MonoBiao Jan 13, 2021
hyperscan ?
|
 |
4
nodesolar OP 看需求了 有些场景 input 就要过滤下
|
|
5
maja Jan 13, 2021
input 做 xss filter 是万恶之源。
何况用 regex 做 xss filter.... |
 |
6
reus Jan 13, 2021
正确做法是用标准库的 encoding/xml,然后用 Decoder.Token 读出 token 流,然后过滤,然后用 Encoder.EncodeToken 生成文本。
用正则解析 html 是错误做法。追求性能前,先保证正确性吧。 |
|
7
nodesolar OP 也不是完全正则,按字符在解析的.
|
 |
8
keepeye Jan 13, 2021
go 的正则库貌似不支持 ?! 语法,原因据说是因为影响效率..
|
 |
10
Mitt Jan 13, 2021
xss 在后端过滤还是在前端过滤的话题只要一开 每次都能吵起来,我是觉得后端能做的太少了,绕过的可能性也很大,前端反而有更多控制手段
|
Select Language