Когда XSS в API лучше не использовать или использовать осторожно? — ответ на собеседовании Go

Что хотят услышать интервьюеры:

Суть: API должен корректно кодировать данные, а frontend — экранировать вывод; backend не должен отдавать опасный HTML без нужды.

Ответ:

Пример:

template.HTMLEscapeString(input)

Практический акцент: Оцените trade-off: простота, производительность, тестируемость, связность пакетов и цена поддержки.

Типичная ошибка: хранить и отдавать пользовательский HTML без sanitization.

Как отвечать на собеседовании: Связывайте безопасность с конкретными уязвимостями OWASP, auth flows, хранением секретов и проверкой входных данных.

Источники

https://go.dev/doc/security/|https://pkg.go.dev/crypto|https://owasp.org/www-project-top-ten/|https://pkg.go.dev/golang.org/x/crypto

Что хотят услышать интервьюеры:

Ответ:

Источники

Похожие вопросы