Go 언어는 안전한 HTML 출력을 생성하기 위한 html/template
패키지를 제공합니다. 이 패키지는 웹 응용 프로그램에서 사용자 입력을 안전하게 렌더링하고, XSS(cross-site scripting) 공격을 방지하는 데 도움이 됩니다.
하지만 이 패키지를 웹 프레임워크와 함께 사용할 때 호환성 문제가 발생할 수 있습니다. 대부분의 웹 프레임워크는 자체적으로 HTML 이스케이프 기능을 제공하며, Go 템플릿 엔진에 내장된 template.HTML
타입을 사용합니다. 따라서 이러한 웹 프레임워크와 html/template
을 함께 사용할 때 이스케이핑이 두 번 적용되는 문제가 발생할 수 있습니다.
이를 방지하기 위해서는 다음과 같은 방법을 고려할 수 있습니다.
html/template
패키지 사용 시 고려 사항
-
html/template
패키지의template.HTML
타입 사용: Go의html/template
패키지에서 제공하는template.HTML
타입을 사용하여 이미 이스케이핑된 HTML을 템플릿에 직접 삽입할 수 있습니다. 이를 통해 두 번의 이스케이핑을 피할 수 있습니다.import "html/template" data := struct { Content template.HTML }{ Content: template.HTML("<p>Hello, World!</p>"), }
-
웹 프레임워크의 이스케이프 기능 비활성화: 일부 웹 프레임워크는 HTML 이스케이프 기능을 비활성화하는 옵션을 제공합니다. 해당 옵션을 사용하여 웹 프레임워크의 이스케이프 기능을 비활성화하고
html/template
의 이스케이핑만 사용할 수 있습니다. -
사용하는 웹 프레임워크의 문서 확인: 사용 중인 웹 프레임워크의 문서를 확인하여
html/template
패키지와의 호환성 및 이스케이핑에 대한 권장 사항을 참고할 수 있습니다.
위의 방법 중 하나를 택하여 웹 프레임워크와 html/template
을 함께 사용할 때의 호환성 문제를 최소화할 수 있습니다.
결론
Go 언어에서의 html/template
과 웹 프레임워크를 함께 사용할 때 이스케이핑 문제에 대해 주의해야 합니다. 적절한 방법을 선택하여 안전한 HTML 출력을 유지하고, 렌더링 과정에서 예기치 않은 결과가 발생되지 않도록 주의해야 합니다.
참조:
- Go
html/template
Package - Using Go’s html/template package for secure HTML output
- Security Considerations in Go