Golang模板渲染安全全攻略

一分耕耘，一分收获！既然都打开这篇《Golang模板渲染安全指南》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新Golang相关的内容，希望对大家都有所帮助！

Go模板安全需使用html/template，其上下文感知转义可防XSS；避免滥用template.HTML绕过转义，必要时结合bluemonday过滤HTML；注意JS等上下文中的安全嵌入，并设置安全响应头如CSP、X-Frame-Options加固防护。

Go语言的模板系统在Web开发中广泛用于动态生成HTML内容。但若使用不当，容易引发XSS（跨站脚本）等安全问题。Go的html/template包内置了上下文感知的自动转义机制，能有效防御大多数注入攻击，但开发者仍需理解其工作原理并遵循安全实践。

启用自动转义并正确使用html/template

Go标准库提供了两个模板包：text/template和html/template。Web场景下必须使用后者，因为它会根据输出上下文（HTML、JS、CSS、URL等）自动进行安全转义。

示例：

package main

import (
    "html/template"
    "net/http"
)

var tmpl = template.Must(template.New("example").Parse(`
    <div>Hello, {{.Name}}</div>
`))

func handler(w http.ResponseWriter, r *http.Request) {
    data := struct{ Name string }{Name: "<script>alert('xss')</script>"}
    tmpl.Execute(w, data) // 自动转义为实体字符，防止XSS
}

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

上述代码中，用户输入的脚本标签会被转义为<script>...，浏览器不会执行。

避免使用template.HTML绕过转义

有时开发者为了渲染富文本，会将数据类型设为template.HTML，这会跳过自动转义，带来风险。

不推荐做法：

data := struct{
    Content template.HTML
}{
    Content: template.HTML("<script>malicious</script>"),
}

如必须输出HTML内容，应先对输入进行严格过滤，例如使用bluemonday等库清理恶意标签。

推荐做法：

import "github.com/microcosm-cc/bluemonday"

cleaned := bluemonday.StrictPolicy().Sanitize(userInput)
tmpl.Execute(w, struct{ Content template.HTML }{
    Content: template.HTML(cleaned),
})

注意上下文敏感的嵌入位置

Go模板的自动转义依赖于上下文推断。若将数据插入JavaScript、CSS或URL中，需确保模板引擎能正确识别上下文。

错误示例：在JS中直接插入变量

{{.UserData}}

虽然HTML上下文中是安全的，但在