1. 首页
  2. 主题
  3. Go动态
徐新华

Go 1.20.4 发布了

polaris · 2023-05-03 22:37:36 · 3921 次点击 · 大约8小时之前 开始浏览    置顶
这是一个创建于 2023-05-03 22:37:36 的主题,其中的信息可能已经有所发展或是发生改变。
第一次,站长亲自招 Gopher 了>>>

大家好,我们劳动节放假期间,Go 官方又发布新版本了。这次的版本更新依然是安全更新,同样是两个版本:Go1.20.4 和 Go1.19.9。主要包含 3 个安全更新,都是 html/template 包的。

  • html/template: CSS 值的不正确清理

    插入 CSS 上下文时,尖括号 (<>) 不被视为危险字符。如果使用不受信任的输入执行,包含由 “/” 字符分隔的多个操作的模板可能会导致意外关闭 CSS 上下文并允许注入意外的 HMTL。

    issue 详见:https://go.dev/issue/59720

  • html/template: JavaScript 空格处理不当

    并非所有有效的 JavaScript 空白字符都被视为空白。在还包含操作的 JavaScript 上下文中,包含字符集“\t\n\f\r\u0020\u2028\u2029”之外的空白字符的模板在执行期间可能无法正确清理。

    issue 详见:https://go.dev/issue/59721

  • html/template: 对空 HTML 属性的不当处理

    由于 HTML 规范化规则,使用空输入执行的未加引号的 HTML 属性(例如“attr={{.}}”)中包含操作的模板可能会导致在解析时产生意外结果的输出。这可能允许将任意属性注入到标签中。

    issue 详见:https://go.dev/issue/59722

如果你使用了 html/template 包,建议进行升级。

可以使用官方推荐的方式升级,也可以用你喜欢的方式升级,亦或到 Go语言中文网 https://studygolang.com/dl 下载最新的包。

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

3921 次点击  
加入收藏 微博
  • 尖括号
  • 字符集
  • 模板
  • 劳动节
    4 回复  |  直到 2023-05-09 15:51:36
    RafaelShin
    RafaelShin · #1 · 2年之前

    最近发布的这两次版本,在win11系统上,更新安装的时候,一直卡在第一个界面-计算空间的时候,一直不动

    jan-bar
    jan-bar · #2 · 2年之前

    https://github.com/golang/go/issues/59572

    修复这个bug才是重点额,感觉容易写出自我怀疑的bug,结果是go官方bug。

    zzustu
    zzustu · #3 · 2年之前
    jan-barjan-bar #2 回复

    https://github.com/golang/go/issues/59572 修复这个bug才是重点额,感觉容易写出自我怀疑的bug,结果是go官方bug。

    在 IDE 中,debug 方式运行是正确结果,直接运行是错误结果。6 翻了。

    Neightly
    Neightly · #4 · 2年之前
    zzustuzzustu #3 回复

    #2楼 @jan-bar > 在 IDE 中,debug 方式运行是正确结果,直接运行是错误结果。6 翻了。

    有啥奇怪的,debug的时候默认禁用优化内联。</br> 以下来自于github.com/go-delve/delve/pkg/gobuild/gobuild.go</br>

    func goBuildArgs(debugname string, pkgs []string, buildflags string, isTest bool) []string {
    args := []string{"-o", debugname}
    if isTest {
        args = append([]string{"-c"}, args...)
    }
    args = append(args, "-gcflags", "all=-N -l")
    if buildflags != "" {
        args = append(args, config.SplitQuotedFields(buildflags, '\'')...)
    }
    args = append(args, pkgs...)
    return args
}
    添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
    • 请尽量让自己的回复能够对别人有帮助
    • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
    • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
    • 图片支持拖拽、截图粘贴等方式上传

    用户登录

    Go今日面试题

     今日阅读排行

     一周阅读排行

      关注我

    • 扫码关注领全套学习资料 关注微信公众号
    • 加入 QQ 群:
      • 192706294(已满)
      • 731990104(已满)
      • 798786647(已满)
      • 729884609(已满)
      • 977810755(已满)
      • 815126783(已满)
      • 812540095(已满)
      • 1006366459(已满)
      • 692541889

    • 关注微信公众号
    • 加入微信群:liuxiaoyan-s,备注入群
    • 也欢迎加入知识星球 Go粉丝们(免费)