V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
The Go Programming Language
http://golang.org/
Go Playground
Go Projects
Revel Web Framework
nodesolar
V2EX  ›  Go 编程语言

最近撸了个 go 过滤 xss 库 go-xss,发现官方库的 regexp 效率有待提高

  •  
  •   nodesolar · 2021-01-13 09:22:39 +08:00 · 2917 次点击
    这是一个创建于 1170 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://github.com/feiin/go-xss 发现官方库的 regexp 效率有待提高
    11 条回复    2021-01-15 13:54:28 +08:00
    maja
        1
    maja  
       2021-01-13 09:51:58 +08:00
    xss 应该在 render 的时候防范而不是 input 。
    MonoBiao
        2
    MonoBiao  
       2021-01-13 09:52:19 +08:00
    hyperscan ?
    hanssx
        3
    hanssx  
       2021-01-13 09:57:53 +08:00
    @maja 像富文本这种预先就定义好语义的,是不是在 input(source)比较好呢
    nodesolar
        4
    nodesolar  
    OP
       2021-01-13 09:58:20 +08:00
    看需求了 有些场景 input 就要过滤下
    maja
        5
    maja  
       2021-01-13 10:04:49 +08:00
    input 做 xss filter 是万恶之源。

    何况用 regex 做 xss filter....
    reus
        6
    reus  
       2021-01-13 10:21:55 +08:00
    正确做法是用标准库的 encoding/xml,然后用 Decoder.Token 读出 token 流,然后过滤,然后用 Encoder.EncodeToken 生成文本。
    用正则解析 html 是错误做法。追求性能前,先保证正确性吧。
    nodesolar
        7
    nodesolar  
    OP
       2021-01-13 10:25:14 +08:00
    也不是完全正则,按字符在解析的.
    keepeye
        8
    keepeye  
       2021-01-13 10:28:32 +08:00
    go 的正则库貌似不支持 ?! 语法,原因据说是因为影响效率..
    nodesolar
        9
    nodesolar  
    OP
       2021-01-13 10:36:57 +08:00
    @keepeye 是的 re2 引擎不支持
    Mitt
        10
    Mitt  
       2021-01-13 15:01:50 +08:00
    xss 在后端过滤还是在前端过滤的话题只要一开 每次都能吵起来,我是觉得后端能做的太少了,绕过的可能性也很大,前端反而有更多控制手段
    nodesolar
        11
    nodesolar  
    OP
       2021-01-15 13:54:28 +08:00
    @Mitt 哈哈哈
    PHP 是世界最好的语言.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1019 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:56 · PVG 03:56 · LAX 12:56 · JFK 15:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.