技术频道

公众号推荐

微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦！

Go是否清理Web请求的URL？

时间：2020-08-24分类：HTML作者：编程之家

我在Go中实现了一个简单的Web服务器.由于我没有网络开发的经验,这对我来说是一个严肃的问题.

假设我正在使用here 修改后的loadPage函数来提供网页

func loadPage(title string) []byte {
    filename := title 
    body,_ := IoUtil.ReadFile(filename)
    return body
}

func handler(w http.ResponseWriter,req *http.Request) {
    content := loadPage(req.URL.Path[1:])
    fmt.Fprintf(w,"%s",content)
}

从技术上讲,这允许我以一种形式写一个请求

http://example.com/../../etc/passwd

并且代码很乐意提供/ etc / passwd文件,但事实并非如此.这是否意味着在Go Http包或http协议本身中存在某种针对../的保护,或者我只是做错了什么并且它是一个安全漏洞？

解决方法

net / http在其HTTP请求多路复用器 ServeMux中执行此操作：

ServeMux also takes care of sanitizing the URL request path,redirecting any request containing . or .. elements to an equivalent .- and ..-free URL.

相关函数是private func cleanPath(p string)字符串,其中calls path.Clean：

1415        np := path.Clean(p)

path.Clean does the appropriate removals：

97         case path[r] == '.' && path[r+1] == '.' && (r+2 == n || path[r+2] == '/'):
 98             // .. element: remove to last /
 99             r += 2
100             switch {
101             case out.w > dotdot:
102                 // can backtrack
103                 out.w--
104                 for out.w > dotdot && out.index(out.w) != '/' {
105                     out.w--
106                 }

如果路径没有root,则还有一个例子,但上面的cleanPath确保它是这样的,如果没有已经存在的话,则通过在要清理的路径前加上一个正斜杠.

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

上一篇：使用一致行为但已弃用的HTML标记的下一篇：RDF中的具体化说明

相关推荐

Vue+elementUI 自定义动态数据菜单导航组件实现展开收缩+路由跳转router-view渲染数据路由跳转到同一个页面带参数ID 自动刷新数据

准备:导入ElementUI 看官网教程数据准备:JSON数据转换成树状参考文章: JS实现 JSON扁平数据转换树状数据后台我拿的数据是这样的格式: [ {id:1 , parentId: 0, name: '', level: 0}, {id:2 , parentId: 0

作者：阿浩呗时间：2024-09-27

vue阻止冒泡事件阻止点击事件的执行结合div和组件阻止点击事件

vue阻止冒泡事件阻止点击事件的执行 <div @click="alerA1()" > <div @click.stop="alerA2()><div> </div> 这样就可以实现阻止点击点击 alerA2

作者：阿浩呗时间：2024-09-27

自用代码css获取任意网址的/favicon.ico的方法教程

尝试过使用网友说的API接口获取找到的都是失效了暂时就使用这种办法获取如果有好的方法望评论告知谢谢 <img :ng-src="'http://'+list.url+'/favicon.ico'" :src="'ht

作者：阿浩呗时间：2024-09-27

JS实现 JSON扁平数据转换树状数据

后台我拿的数据是这样的格式: [ {id:1 , parentId: 0, name: '', level: 0}, {id:2 , parentId: 0, name: '', level: 0}, {id:3 , parentId: 2, name: '&

作者：阿浩呗时间：2024-09-27

JAVA下载文件防重复点击,防止多次下载请求，Cookie方式快速简单集成教程

JAVA下载文件防重复点击,防止多次下载请求，Cookie方式快速简单集成教程 JS文件在最下面: 引入 <script src="${path}/js/jquery-2.0.3.min.js"></script> <script src=&quot

作者：阿浩呗时间：2024-09-27

Mip是什么意思以及作用有哪些

Mip是什么意思以及作用有哪些

作者：编程之家时间：2023-09-13

怎么测试Mip页面运行情况

怎么测试Mip页面运行情况

作者：编程之家时间：2023-09-13

MIP安装的具体步骤有哪些

MIP安装的具体步骤有哪些

作者：编程之家时间：2023-09-13

HTML添加超链接、锚点的方法及作用详解（附视频）

HTML添加超链接、锚点的方法及作用详解（附视频）

作者：编程之家时间：2023-09-13

MIP的规则有哪些

MIP的规则有哪些

作者：编程之家时间：2023-09-13

小编推荐

苹果市值2025年有望达4万亿美元