在网络世界中，XSS（跨站脚本攻击）是一种常见的安全威胁，它可以使攻击者注入恶意脚本代码到网页中，从而获取用户的敏感信息。为了保护网站和用户的安全，防范XSS攻击至关重要。本文将介绍一些常用的Golang代码来防御XSS攻击。

使用输入过滤

输入过滤是防止XSS攻击的基本方法之一。在Golang开发中，我们可以使用“html/template”包中的EscapeString函数来过滤用户输入的数据。该函数会将特殊字符进行转义，从而避免恶意脚本的执行。下面是一个示例：

package main

import (
    "fmt"
    "html/template"
    "net/http"
)

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

func handler(w http.ResponseWriter, r *http.Request) {
    userInput := r.URL.Query().Get("input")
    filteredInput := template.HTMLEscapeString(userInput)

    fmt.Fprintf(w, "Filtered Input: %s", filteredInput)
}

使用Content Security Policy（CSP）

CSP是一种通过白名单机制来减少XSS攻击的策略。通过设置有效的CSP头部，可以限制网页中可执行的脚本来源，从而防止恶意脚本的注入。可以使用Golang中的“net/http”包来设置CSP头部：

package main

import (
    "net/http"
)

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

func handler(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Security-Policy", "default-src 'self'")

    // ...
}

使用HTTP Only Cookie

XSS攻击通常通过获取用户的Cookie信息来进行身份验证绕过。为了减少这种威胁，我们可以使用HTTP Only Cookie来限制JavaScript对Cookie的访问权限。在Golang中，可以使用“net/http”包的SetCookie方法来设置HTTP Only Cookie：

package main

import (
    "net/http"
)

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

func handler(w http.ResponseWriter, r *http.Request) {
    http.SetCookie(w, &http.Cookie{
        Name:     "session",
        Value:    "1234567890",
        HttpOnly: true,
    })

    // ...
}

通过以上三种方法的结合使用，我们可以大大提高网站的安全性，减少XSS攻击的风险。作为Golang开发者，我们应该时刻关注并采取措施来保护用户的隐私和安全。