Go HTML 模板：安全渲染原始HTML内容而不被转义

碧海醫心

发布时间：2025-09-30 13:59:25

305人浏览过

来源于php中文网

原创

Go HTML 模板：安全渲染原始HTML内容而不被转义

Go语言的html/template包默认会对管道中的HTML内容进行转义，以防止跨站脚本（XSS）攻击。若需在模板中插入原始、未转义的HTML，应将对应的数据字段类型明确声明为template.HTML。这样，模板引擎会将其视为安全HTML，直接渲染到输出中，从而避免不必要的转义。

Go HTML 模板的默认转义行为

html/template 包是 go 语言标准库中用于生成 html 输出的强大工具。为了增强安全性，它默认会对所有通过管道（pipeline）插入到 html 模板中的数据进行自动转义。这意味着，如果你的数据中包含、&、" 等 html 特殊字符，它们会被转换为对应的 html 实体（例如，

然而，在某些场景下，我们可能需要渲染已经确定是安全的、包含原始 HTML 标记的内容。例如，从可信源获取的富文本内容，或者由后端生成的已知安全片段。在默认的转义机制下，这些原始 HTML 会被错误地转义，导致在浏览器中显示为纯文本而非预期的 HTML 结构。

考虑以下 Go 代码和 HTML 模板示例，它从 RSS 源获取新闻描述并尝试在网页上显示：

Go 代码片段（main.go）：

package main

import (
    "fmt"
    "html/template"
    "log"
    "net/http"
)

// Item 结构体，Description 字段目前是 string 类型
type Item struct {
    Title       string
    Link        string
    Description string // 假设此字段可能包含原始HTML
}

func handler(w http.ResponseWriter, r *http.Request) {
    // 模拟从RSS源获取的数据
    data := struct {
        ItemList []Item
    }{
        ItemList: []Item{
            {
                Title: "Go Template Example",
                Link:  "http://example.com",
                // 这是一个包含原始HTML的Description字段
                Description: "This is a rich text description with HTML tags.
立即学习“前端免费学习笔记（深入）”；",
            },
            {
                Title: "Another Article",
                Link:  "http://another.com",
                Description: "Regular text description.",
            },
        },
    }

    tmpl, err := template.ParseFiles("index.html")
    if err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }

    if err := tmpl.Execute(w, data); err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
    }
}

func main() {
    http.HandleFunc("/", handler)
    fmt.Println("Server listening on :8080")
    log.Fatal(http.ListenAndServe(":8080", nil))
}

HTML 模板文件（index.html）：




    News Feed


    Latest News
    {{range .ItemList}}
    
        {{.Title}}
        {{.Description}}
    
    {{end}}

当运行上述代码时，Description 字段中的原始 HTML 标记（如

, , ）会被转义，导致浏览器渲染时显示为字面量字符串，而不是格式化的 HTML。例如，

This is a rich text description...

会在页面上显示为 zuojiankuohaophpcnpyoujiankuohaophpcnThis is a zuojiankuohaophpcnbyoujiankuohaophpcnrich textzuojiankuohaophpcn/byoujiankuohaophpcn description...zuojiankuohaophpcn/pyoujiankuohaophpcn。

解决方案：使用 template.HTML 类型

为了指示 html/template 包某个字符串是安全的，不应被转义，我们需要将其类型明确声明为 template.HTML。template.HTML 是 html/template 包提供的一个特殊类型，它告诉模板引擎该字符串内容已经被验证为安全，可以直接插入到 HTML 输出中。

要解决上述问题，只需修改 Go 结构体中包含原始 HTML 的字段类型：

牛小影

牛小影 - 专业的AI视频画质增强器

下载

修改结构体字段类型： 将 Item 结构体中的 Description 字段从 string 类型更改为 template.HTML。

// Item 结构体，Description 字段现在是 template.HTML 类型
type Item struct {
    Title       string
    Link        string
    Description template.HTML // 将类型改为 template.HTML
}

创建 template.HTML 实例： 在 Go 代码中为 Description 字段赋值时，需要将字符串显式转换为 template.HTML 类型。

data := struct {
    ItemList []Item
}{
    ItemList: []Item{
        {
            Title: "Go Template Example",
            Link:  "http://example.com",
            // 将字符串转换为 template.HTML
            Description: template.HTML("This is a rich text description with HTML tags.
立即学习“前端免费学习笔记（深入）”；"),
        },
        {
            Title: "Another Article",
            Link:  "http://another.com",
            Description: template.HTML("Regular text description."), // 即使是纯文本，也可以使用
        },
    },
}

注意： HTML 模板文件 (index.html) 无需进行任何修改。模板引擎会根据传入的数据类型自动识别 template.HTML 并进行相应的处理。

完整示例

以下是修改后的完整 Go 代码和 HTML 模板，展示了如何正确地在 Go HTML 模板中渲染原始 HTML 内容。

Go 代码（main.go）：

package main

import (
    "fmt"
    "html/template" // 导入 html/template 包
    "log"
    "net/http"
    "io/ioutil"
    "encoding/xml" // 用于解析RSS数据
)

// RSS 结构体，匹配RSS XML的根元素
type RSS struct {
    XMLName xml.Name `xml:"rss"`
    Items   Channel  `xml:"channel"`
}

// Channel 结构体，匹配RSS XML的channel元素
type Channel struct {
    XMLName  xml.Name `xml:"channel"`
    ItemList []Item   `xml:"item"`
}

// Item 结构体，包含新闻条目的信息
type Item struct {
    Title       string        `xml:"title"`
    Link        string        `xml:"link"`
    Description template.HTML `xml:"description"` // 关键修改：使用 template.HTML
}

func main() {
    // 模拟从Google News RSS获取数据
    res, err := http.Get("http://news.google.com/news?hl=en&gl=us&q=samsung&um=1&ie=UTF-8&output=rss")
    if err != nil {
        log.Fatalf("Failed to fetch RSS: %v", err)
    }
    defer res.Body.Close()

    asText, err := ioutil.ReadAll(res.Body)
    if err != nil {
        log.Fatalf("Failed to read RSS body: %v", err)
    }

    var rssData RSS
    err = xml.Unmarshal(asText, &rssData)
    if err != nil {
        log.Fatalf("Failed to unmarshal RSS: %v", err)
    }

    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        handler(w, r, rssData.Items)
    })
    fmt.Println("Server listening on :8080")
    log.Fatal(http.ListenAndServe(":8080", nil))
}

func handler(w http.ResponseWriter, r *http.Request, channelData Channel) {
    tmpl, err := template.ParseFiles("index.html")
    if err != nil {
        http.Error(w, fmt.Sprintf("Error parsing template: %v", err), http.StatusInternalServerError)
        return
    }

    if err := tmpl.Execute(w, channelData); err != nil {
        http.Error(w, fmt.Sprintf("Error executing template: %v", err), http.StatusInternalServerError)
    }
}

HTML 模板文件（index.html）：




    RSS News Feed
    


    Latest News from RSS
    {{range .ItemList}}
    
        {{.Title}}
        {{/* Description 字段将作为原始HTML被渲染 */}}
        {{.Description}} 
    
    {{end}}

现在，当运行此程序并在浏览器中访问 http://localhost:8080 时，Description 字段中的内容将作为原始 HTML 被渲染，而不再被转义。例如，如果 Description 包含表格或图片标签，它们将正常显示。

重要注意事项与最佳实践

安全性警示： 使用 template.HTML 意味着你信任该内容是安全的，不会引入恶意脚本。切勿直接将未经净化的用户输入赋值给 template.HTML 类型。如果内容来自用户，必须先经过严格的 HTML 净化库（如 bluemonday）处理，移除所有潜在的恶意标签和属性，然后再将其转换为 template.HTML。
其他安全类型： html/template 包还提供了其他类似的类型来处理特定上下文中的安全内容：
- template.CSS: 用于 CSS 样式表内容。
- template.JS: 用于 JavaScript 代码。
- template.URL: 用于 URL 属性（如 href）。
- template.Srcset: 用于标签的 srcset 属性。正确使用这些类型可以确保在不同上下文中生成安全的输出。
html/template 与 text/template： Go 语言还有另一个模板包 text/template。text/template 不执行任何内容转义，因为它被设计用于生成非 HTML 的文本输出。如果你确定不需要 HTML 转义，并且生成的是纯文本，可以使用 text/template。但在生成 HTML 内容时，始终推荐使用 html/template 以利用其内置的安全机制。

总结

在 Go 语言的 html/template 中，默认的 HTML 转义是出于安全考虑，旨在防止 XSS 攻击。然而，当需要渲染已知安全的原始 HTML 内容时，可以通过将对应的数据字段类型声明为 template.HTML 来绕过自动转义。这一机制提供了一种灵活且安全的方式来处理富文本内容，但开发者必须牢记 template.HTML 意味着对内容的信任，因此务必确保其来源的安全性，对用户输入进行严格净化。

如何使用 goquery 精确匹配包含多个 CSS 类名的 HTML 元素

使用 goquery 精确匹配多值 HTML class（含空格）的正确方法

如何在 Go HTML 模板中安全注入 CSS 内容

如何在 Go 模板中安全地注入 CSS 内容

如何使用Golang管理静态资源_优化CSS、JS和图片加载

HTML速学教程(入门课程)

HTML怎么学习？HTML怎么入门？HTML在哪学？HTML怎么学才快？不用担心，这里为大家提供了HTML速学教程(入门课程)，有需要的小伙伴保存下载就能学习啦！

下载

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：Go并发编程实践：优化Map比较与Goroutine同步下一篇：深入理解Go语言文件命名规范：下划线与点前缀文件的特殊处理

作者最新文章

MapStruct 多参数映射：正确使用 source 属性绑定方法参数

2026-01-12 15:48

酷狗音乐如何设置苹果手机铃声

2026-01-12 15:49

Python 中函数返回值的正确获取方式

2026-01-12 15:59

iPhone屏幕上出现的方块按钮怎么隐藏

2026-01-12 16:00

如何在 IntelliJ IDEA 中禁用紧凑型大括号格式（强制换行）

2026-01-12 16:00

Go语言中类型转换：将双向通道转为只读通道的语法解析

2026-01-12 16:04

如何在Java中跨类访问对象实例并共享状态

2026-01-12 16:04

天塌了！《棕色尘埃2》将开启和谐修改角色服装引不满

2026-01-12 16:04

iPhone 17e即将发布，刘海屏彻底成为历史

2026-01-12 16:08

微PE工具箱如何进行分区

2026-01-12 16:08

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI大模型

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI大模型

中文写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作

智谱清言 - 免费全能的AI助手

AI大模型

PDF 文档

相关专题

js获取数组长度的方法

在js中，可以利用array对象的length属性来获取数组长度，该属性可设置或返回数组中元素的数目，只需要使用“array.length”语句即可返回表示数组对象的元素个数的数值，也就是长度值。php中文网还提供JavaScript数组的相关下载、相关课程等内容，供大家免费下载使用。

553

2023.06.20

js刷新当前页面

js刷新当前页面的方法：1、reload方法，该方法强迫浏览器刷新当前页面，语法为“location.reload([bForceGet]) ”；2、replace方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，不能通过“前进”和“后退”来访问已经被替换的URL，语法为“location.replace(URL) ”。php中文网为大家带来了js刷新当前页面的相关知识、以及相关文章等内容

374

2023.07.04

js四舍五入

js四舍五入的方法：1、tofixed方法，可把 Number 四舍五入为指定小数位数的数字；2、round() 方法，可把一个数字舍入为最接近的整数。php中文网为大家带来了js四舍五入的相关知识、以及相关文章等内容

731

2023.07.04

js删除节点的方法

js删除节点的方法有：1、removeChild()方法，用于从父节点中移除指定的子节点，它需要两个参数，第一个参数是要删除的子节点，第二个参数是父节点；2、parentNode.removeChild()方法，可以直接通过父节点调用来删除子节点；3、remove()方法，可以直接删除节点，而无需指定父节点；4、innerHTML属性，用于删除节点的内容。

477

2023.09.01

JavaScript转义字符

JavaScript中的转义字符是反斜杠和引号，可以在字符串中表示特殊字符或改变字符的含义。本专题为大家提供转义字符相关的文章、下载、课程内容，供大家免费下载体验。

394

2023.09.04

js生成随机数的方法

js生成随机数的方法有：1、使用random函数生成0-1之间的随机数；2、使用random函数和特定范围来生成随机整数；3、使用random函数和round函数生成0-99之间的随机整数；4、使用random函数和其他函数生成更复杂的随机数；5、使用random函数和其他函数生成范围内的随机小数；6、使用random函数和其他函数生成范围内的随机整数或小数。

990

2023.09.04

如何启用JavaScript

JavaScript启用方法有内联脚本、内部脚本、外部脚本和异步加载。详细介绍：1、内联脚本是将JavaScript代码直接嵌入到HTML标签中；2、内部脚本是将JavaScript代码放置在HTML文件的`<script>`标签中；3、外部脚本是将JavaScript代码放置在一个独立的文件；4、外部脚本是将JavaScript代码放置在一个独立的文件。

656

2023.09.12

Js中Symbol类详解

javascript中的Symbol数据类型是一种基本数据类型，用于表示独一无二的值。Symbol的特点：1、独一无二，每个Symbol值都是唯一的，不会与其他任何值相等；2、不可变性，Symbol值一旦创建，就不能修改或者重新赋值；3、隐藏性，Symbol值不会被隐式转换为其他类型；4、无法枚举，Symbol值作为对象的属性名时，默认是不可枚举的。

551

2023.09.20