Go语言防XSS转义HTML方法

本文深入解析了Go语言中使用html.EscapeString防范XSS攻击的核心原则与实战要点：它专用于HTML文本内容上下文，严格转义、&、"、'五个关键字符，是插入用户输入时不可替代的基础防护；但不适用于属性值（需html.QuoteString）、URL（需白名单校验）等其他场景，且无法替代html/template的上下文敏感自动转义——尤其要警惕误用template.HTML绕过防护。文章还澄清了其局限性：不处理Unicode、宽字节或UTF-7绕过，不双重编码已转义字符串，并强调在手动拼接HTML（如邮件、SVG）时必须主动调用，而text/template则完全不转义，需开发者自行把关。

html.EscapeString 什么时候必须用

只要把用户输入、外部数据或不可信内容直接插入 HTML 模板（比如 template.HTML 类型、fmt.Sprintf 拼接 HTML 字符串、http.ResponseWriter 直接写入）——就必须先过 html.EscapeString。它不是“可选防护”，而是防止 XSS 的最低门槛。

常见错误现象： 这种字符串没处理就写进页面，浏览器立刻执行；或者用户昵称里藏了 ，一渲染就触发。

• 只对 HTML 文本内容生效（比如
  {userInput}
  中的 {userInput}）
• 不适用于 HTML 属性值里的双引号/单引号转义（比如 title="{userInput}"），那里得用 html.QuoteString
• 不处理 URL 中的恶意协议（如 javascript:alert(1)），URL 需单独校验或白名单过滤

html.EscapeString 和 template 包自动转义的区别

Go 的 html/template 默认会对所有 {{.}} 插值做上下文敏感转义——但它只在模板渲染时生效，且依赖你正确声明变量类型。

容易踩的坑：template.HTML("