修改了一些第四章的细节

astaxie · astaxie · commit c0adec33899b · 2012-09-07T11:35:22.000+08:00
diff --git a/4.2.md b/4.2.md
@@ -1,6 +1,6 @@
 #4.2验证表单的输入
 
-我们开发Web的一个原则就是，不能信任任何用户输入的信息，所以验证和过滤用户的输入信息就变得相当重要，我们经常会在微博、新闻中听到某某网站被入侵了，存在什么漏洞，这些大多是是因为对于用户输入的信息没有做严格的验证引起的，所以为了编写出安全可靠的Web程序，验证表单输入变得相当的重要。
+我们开发Web的一个原则就是，不能信任用户输入的任何信息，所以验证和过滤用户的输入信息就变得相当重要，我们经常会在微博、新闻中听到某某网站被入侵了，存在什么漏洞，这些大多是是因为对于用户输入的信息没有做严格的验证引起的，所以为了编写出安全可靠的Web程序，验证表单输入变得相当的重要。
 
 我们平常编写Web应用主要有两方面的数据验证，一个是在页面端的js验证(目前很多这方面的验证库)，一个是在服务器端的验证，我们这小节讲解的是如何在服务器端验证。
 
@@ -11,10 +11,10 @@
 		//为空的处理
 	}
 
-不同类型的表单元素留空会导致`r.Form`里面的数据不尽相同，空文本框、空文本区域以及文件上传的值是零长度的值。但是未选中的复选框和单选按钮就不会再`r.Form`中产生任何字段，当我们这样预测的去获取数据时程序就会报错。所以我们可以通过`r.Form.Get()`来获取值，首先判断是否存在。
+`r.Form`对不同类型的表单元素的留空有不同的处理， 对于空文本框、空文本区域以及文件上传，元素的值为空值,而如果是未选中的复选框和单选按钮，则根本不会在r.Form中产生相应条目，如果我们用上面例子中的方式去获取数据时程序就会报错。所以我们需要通过`r.Form.Get()`来获取值，因为如果字段不存在，通过该方式获取的是空值。但是通过`r.Form.Get()`只能获取单个的值，如果是map的值，必须通过上面的方式来获取。
 
 ##数字
-你想要确保一个表单输入框中获取的只能是数字，例如，你想通过表单获取这个人的具体年龄，而不是“一把年纪了”和“年轻着呢”，而实际上一个10岁，一个50岁。
+你想要确保一个表单输入框中获取的只能是数字，例如，你想通过表单获取某个人的具体年龄是50岁还是10岁，而不是像“一把年纪了”或“年轻着呢”这种描述
 
 如果我们是判断正整数，那么我们先转化成int类型，然后进行处理
 
@@ -36,8 +36,10 @@
 
 对于性能要求很高的用户来说，这是一个老生常谈的问题了，他们认为应该尽量避免使用正则表达式，因为使用正则表达式的速度会比较慢。但是在目前机器性能那么强劲的情况下，对于这种简单的正则表达式效率和类型转换函数是没有什么差别的。如果你对正则表达式很熟悉，而且你在其它语言中也在使用它，那么在Go里面使用正则表达式将是一个便利的方式。
 
+>Go实现的正则是[RE2](http://code.google.com/p/re2/wiki/Syntax)，所有的字符都是UTF-8编码的。
+
 ##中文
-有时候我们想通过表单元素获取一个用户的中文名字，但是又为了保证获取的是争取的中文，我们需要进行验证，而不是用户随便的一些输入。对于中文我们目前有效的验证只有正则方式来验证，如下代码所示
+有时候我们想通过表单元素获取一个用户的中文名字，但是又为了保证获取的是正确的中文，我们需要进行验证，而不是用户随便的一些输入。对于中文我们目前有效的验证只有正则方式来验证，如下代码所示
 
 	if m, _ := regexp.MatchString("^[\\x{4e00}-\\x{9fa5}]+$", r.Form.Get("realname")); !m {
 		return false
@@ -71,7 +73,7 @@
 	}
 
 ##下拉菜单
-如果我们想要判断表单里面`<select>`元素生成的下拉菜单中是否有被选中的项目。有些时候黑客可能会伪造这个下拉菜单不存在的值发送给你，那么我们如何判断这个值是否是我们预想的值呢？
+如果我们想要判断表单里面`<select>`元素生成的下拉菜单中是否有被选中的项目。有些时候黑客可能会伪造这个下拉菜单不存在的值发送给你，那么如何判断这个值是否是我们预设的值呢？
 
 我们的select可能是这样的一些元素
 	
@@ -95,7 +97,7 @@
 上面这个函数包含在我开源的一个库里面(操作slice和map的库)，[https://github.com/astaxie/beeku](https://github.com/astaxie/beeku)
 
 ##单选按钮
-如果我们想要判断radio按钮是否有一个被选中了，我们页面的输出可能就是一个男、女性别的选择，但是也可能一个15岁大的无聊小孩，一手拿着http协议的书，另一只手通过telnet客户端向你的程序在发送请求呢，你设定的性别男值是1，女是2，他给你发送一个3，你的程序会出现异常吗？
+如果我们想要判断radio按钮是否有一个被选中了，我们页面的输出可能就是一个男、女性别的选择，但是也可能一个15岁大的无聊小孩，一手拿着http协议的书，另一只手通过telnet客户端向你的程序在发送请求呢，你设定的性别男值是1，女是2，他给你发送一个3，你的程序会出现异常吗？因此我们也需要像下拉菜单的判断方式类似，判断我们获取的值是我们预设的值，而不是额外的值。
 
 	<input type="radio" name="gender" value="1">男
 	<input type="radio" name="gender" value="2">女
diff --git a/4.3.md b/4.3.md
@@ -1,51 +1,55 @@
-#4.3 预防跨站脚本
-
-现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其缩写成 XSS）的威胁，而静态站点则完全不受其影响。
-
-攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取/污染cookie，做虚假广告等。
-
-对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击(这个我们前面小节已经有过介绍);对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。
-
-那么Go里面是怎么做这个有效防护的呢？Go的html/template里面带有下面几个函数可以帮你转移
-
-- func HTMLEscape(w io.Writer, b []byte)  //把需要转移的b进行转义之后写到w
-- func HTMLEscapeString(s string) string  //转移s之后返回转义的字符串
-- func HTMLEscaper(args ...interface{}) string //支持多个参数一起转义，然后返回一个字符串
-
-我们看4.1小节的例子
-
-	fmt.Println("username:", HTMLEscapeString(r.Form["username"])) //输出到服务器端
-    fmt.Println("password:", HTMLEscapeString(r.Form["password"]))
-    HTMLEscape(w,r.Form["username"]) //输出到客户端
-
-那么我们在输出我们的模板的时候怎么处理的呢？Go的html/template包现在默认就帮你过滤了html元素，但是有时候你又想输出这样的信息，text/template也支持。请看下面的例子所示
-
-	import "text/template"
-	...
-	t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
-	err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
-
-输出
-
-	Hello, <script>alert('you have been pwned')</script>!
-
-转义的例子：
-
-	import "html/template"
-	...
-	t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
-	err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
-
-转移之后的输出：
-
-	Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
-	
-	
-
-## links
-   * [目录](<preface.md>)
-   * 上一节: [验证的输入](<4.2.md>)
-   * 下一节: [防止多次递交表单](<4.4.md>)
-
-## LastModified 
+#4.3 预防跨站脚本
+
+现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其缩写成 XSS）的威胁，而静态站点则完全不受其影响。
+
+攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取/污染cookie，做虚假广告等。
+
+对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击(这个我们前面小节已经有过介绍);对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。
+
+那么Go里面是怎么做这个有效防护的呢？Go的html/template里面带有下面几个函数可以帮你转移
+
+- func HTMLEscape(w io.Writer, b []byte)  //把需要转移的b进行转义之后写到w
+- func HTMLEscapeString(s string) string  //转移s之后返回转义的字符串
+- func HTMLEscaper(args ...interface{}) string //支持多个参数一起转义，然后返回一个字符串
+
+我们看4.1小节的例子
+
+	fmt.Println("username:", template.HTMLEscapeString(r.Form.Get("username"))) //输出到服务器端
+	fmt.Println("password:", template.HTMLEscapeString(r.Form.Get("password")))
+	template.HTMLEscape(w, []byte(r.Form.Get("username"))) //输出到客户端
+
+我们看到最后输出到客户端的代码如下：
+
+![](images/4.3.escape.png?raw=true)
+
+那么我们在输出我们的模板的时候怎么处理的呢？Go的html/template包现在默认就帮你过滤了html元素，但是有时候你又想输出这样的信息，text/template也支持。请看下面的例子所示
+
+	import "text/template"
+	...
+	t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
+	err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
+
+输出
+
+	Hello, <script>alert('you have been pwned')</script>!
+
+转义的例子：
+
+	import "html/template"
+	...
+	t, err := template.New("foo").Parse(`{{define "T"}}Hello, {{.}}!{{end}}`)
+	err = t.ExecuteTemplate(out, "T", "<script>alert('you have been pwned')</script>")
+
+转移之后的输出：
+
+	Hello, &lt;script&gt;alert(&#39;you have been pwned&#39;)&lt;/script&gt;!
+	
+	
+
+## links
+   * [目录](<preface.md>)
+   * 上一节: [验证的输入](<4.2.md>)
+   * 下一节: [防止多次递交表单](<4.4.md>)
+
+## LastModified 
    * $Id$
diff --git a/images/4.3.escape.png b/images/4.3.escape.png
