[golang]web表单

处理表单的输入

request.Formurl.Values 类型,里面存储的是类似 key = value 的信息。

v := url.Values{}
v.Set("name", "Ava")
v.Add("friend", "Jess")
v.Add("friend", "Sarah")
v.Add("friend", "Zoe")
// v.Encode() == "name=Ava&friend=Jess&friend=Sarah&friend=Zoe"
fmt.Println(v.Get("name"))
fmt.Println(v.Get("friend"))
fmt.Println(v["friend"])
复制代码

request 也提供 FormValue() 方法来获取用户提交的参数。如 r.Form["username"] 也可写成 r.FormValue("username")。调用 r.FormValue 时会自动调用 r.ParseFormr.FormValue 只会返回同名参数中的第一个,若参数不存在则返回空字符串。

预防跨站脚本

动态站点可能会受到“跨站脚本攻击(Cross Site Scripting,XSS)”的威胁,而静态站点不受其影响。
攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、ActiveX 或 Flash 以欺骗用户。一旦得手,他们可以盗取帐户信息,修改用户设置,盗取/污染 cookie 和植入恶意广告等。
对 XSS 最佳的防护应该结合以下两种方法:

  • 验证所有输入数据,有效检测攻击;
  • 对所有输出数据进行适当的处理,以防止任何已成功注入的脚本在浏览器端运行;

Go 的 html/template 有几个函数可以转义。

  • func HTMLEscape(w io.Writer, b []byte) // 把 b 进行转义之后写到 w
  • func HTMLEscapeString(s string) string // 转义 s 之后返回结果字符串
  • func HTMLEscaper(args ...interface{}) string // 支持多个参数一起转义,返回结果字符串
fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) // 输出到服务端
template.HTMLEscape(w, []byte(r.Form.Get("username"))) // 输出到客户端
复制代码
// 服务端打印
username: <script>alert()</script>
// 客户端打印
<script>alert()</script>
复制代码

html/template 支持转义 html 标签,也支持输出含有 html 的文本。

t, _ := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
_ = t.ExecuteTemplate(w, "T", "<script>alert('you have been pwned')</script>")
复制代码
// 客户端打印
Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
复制代码
t, _ := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
_ = t.ExecuteTemplate(w, "T", template.HTML("<script>alert('you have been pwned')</script>"))
复制代码
// 客户端打印
Hello, <script>alert('you have been pwned')</script>!
复制代码

处理文件上传

服务端接收文件

要想使表单能够上传文件,首先第一步就是要添加 formenctype 属性,enctype 属性有如下三种情况:

  • application/x-www-form-urlencoded 表示在发送前,编码所有字符(默认);
  • multipart/form-data 不对字符进行编码,在使用包含文件上传控件的表单时,必须使用该值;
  • text/plain 空格转换为 +,但不对特殊字符编码;
<form enctype="multipart/form-data" action="/upload" method="post">
    <input type="file" name="uploadfile" />
    <input type="hidden" name="token" value="{{.}}"/>
    <input type="submit" value="upload" />
</form>
复制代码

处理文件上传时,需要调用 r.ParseMultipartForm,里面的参数表示 maxMemory,上传的文件存储在 maxMemory 大小的内存里面,如果文件大小超过 maxMemory,那么剩下的部分将存储在系统的临时文件中。
通过 r.FormFile 获取文件句柄,然后对文件进行存储等处理。

http.HandleFunc("/upload", upload)

func upload(w http.ResponseWriter, r *http.Request) {
    if r.Method == "GET" {
        crutime := time.Now().Unix()
        h := md5.New()
        io.WriteString(h, strconv.FormatInt(crutime, 10))
        token := fmt.Sprintf("%x", h.Sum(nil))

        t, _ := template.ParseFiles("upload.gtpl")
        t.Execute(w, token)
    } else {
        // 后续获取非文件字段信息时,无需再执行 `r.ParseForm()`
        r.ParseMultipartForm(32 << 20)
        file, handler, err := r.FormFile("uploadfile")
        if err != nil {
            fmt.Println(err)
            return
        }
        defer file.Close()
        fmt.Fprintf(w, "%v", handler.Header)
        f, err := os.OpenFile("./file/"+handler.Filename, os.O_WRONLY|os.O_CREATE, 0666)
        if err != nil {
            fmt.Println(err)
            return
        }
        defer f.Close()
        io.Copy(f, file)
    }
}
复制代码

客户端上传文件

客户端通过 (multipart.Writer).CreateFormFile 把文件的文本流写入一个缓存中,然后调用 http.Post 把缓存传到服务器。

func main() {
    target_url := "http://localhost:9090/upload"
    filename := "./test.pdf"
    postFile(filename, target_url)
}

func postFile(filename string, targetUrl string) error {
    bodyBuf := &bytes.Buffer{}
    bodyWriter := multipart.NewWriter(bodyBuf)

    fileWriter, err := bodyWriter.CreateFormFile("uploadfile", filename)
    if err != nil {
        return err
    }

    bodyWriter.WriteField("username", "jack")

    fh, err := os.Open(filename)
    if err != nil {
        return err
    }

    defer fh.Close()

    _, err = io.Copy(fileWriter, fh)
    if err != nil {
        return err
    }

    contentType := bodyWriter.FormDataContentType()
    bodyWriter.Close()

    resp, err := http.Post(targetUrl, contentType, bodyBuf)
    if err != nil {
        return err
    }
    defer resp.Body.Close()
    resp_body, err := ioutil.ReadAll(resp.Body)
    if err != nil {
        return err
    }
    fmt.Println(resp.Status)
    fmt.Println(string(resp_body))
    return nil
}
复制代码