最近撸了个 go 过滤 xss 库 go-xss,发现官方库的 regexp 效率有待提高
nodesolar · 2021-01-13 09:22:39 +08:00 · 3151 次点击这是一个创建于 1392 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://github.com/feiin/go-xss 发现官方库的 regexp 效率有待提高
 |
1
maja 2021-01-13 09:51:58 +08:00
xss 应该在 render 的时候防范而不是 input 。
|
 |
2
MonoBiao 2021-01-13 09:52:19 +08:00
hyperscan ?
|
 |
4
nodesolar OP 看需求了 有些场景 input 就要过滤下
|
|
5
maja 2021-01-13 10:04:49 +08:00
input 做 xss filter 是万恶之源。
何况用 regex 做 xss filter.... |
 |
6
reus 2021-01-13 10:21:55 +08:00
正确做法是用标准库的 encoding/xml,然后用 Decoder.Token 读出 token 流,然后过滤,然后用 Encoder.EncodeToken 生成文本。
用正则解析 html 是错误做法。追求性能前,先保证正确性吧。 |
|
7
nodesolar OP 也不是完全正则,按字符在解析的.
|
 |
8
keepeye 2021-01-13 10:28:32 +08:00
go 的正则库貌似不支持 ?! 语法,原因据说是因为影响效率..
|
 |
10
Mitt 2021-01-13 15:01:50 +08:00
xss 在后端过滤还是在前端过滤的话题只要一开 每次都能吵起来,我是觉得后端能做的太少了,绕过的可能性也很大,前端反而有更多控制手段
|
Select Language