Go HTML Template のエスケープの挙動に気をつけよう - 弁護士ドットコム株式会社 Creators’ blog
TL; DR Go HTML Template では、渡した文字列がデフォルトでエスケープされますが、Typed Strings を渡すとエスケープされません そこにユーザーが自由に指定できる値を設定すると、XSS 脆弱性につながる恐れがあります Revel の関数の中には、引数に渡した値を、内容はそのまま Typed Strings にして返すものがあります すべての条件が揃うケースは稀ですが、気をつけましょう Go の HTML テンプレート html/template は Go の標準ライブラリです。 他の言語にも存在するような、HTML へのテンプレート展開を実現してくれます。 以下のコードが <!-- greeting := "hello!" --> <p> {{ .greeting }} </p> このように変換されます。 <p> hello! </p> 便利な一方で、変数を
