在Go模板中正确输出JSON数据到JavaScript上下文

本文旨在解决Go语言模板中将JSON数据嵌入JavaScript时遇到的字符串转义问题。通过详细解释html/template的自动转义机制，并提供将json.Marshal结果转换为template.JS类型的解决方案，确保JSON数据以未转义的、可直接使用的形式呈现在客户端，同时强调了相关的安全考量。

引言：理解Go模板中的JSON转义问题

在构建Web应用时，我们经常需要在Go后端处理数据，并将其以JSON格式传递到前端的JavaScript环境中。一个常见的场景是，后端通过json.Marshal将Go对象序列化为JSON字符串，然后通过Go模板渲染到HTML页面中，供前端JavaScript直接使用。

然而，开发者常常会遇到一个问题：当尝试将JSON字符串直接嵌入到<script>标签或JavaScript变量中时，Go模板引擎会对其进行自动转义，导致输出的JSON字符串不再是有效的JavaScript对象字面量，而是被双引号包围且内部字符（如双引号）被反斜杠转义的普通字符串。

例如，我们期望在客户端得到类似 var arr=["o1","o2"] 的JavaScript数组，但实际输出却是 var arr="[\"o1\",\"o2\"]"。这使得前端无法直接将这个字符串作为JavaScript对象或数组使用，需要额外的 JSON.parse() 处理。

立即学习“Java免费学习笔记（深入）”；

这种自动转义是html/template包出于安全考虑的默认行为，旨在防止跨站脚本攻击（XSS）。它会将所有输出到HTML/JS上下文的字符串进行转义，确保它们不会被浏览器错误地解析为可执行代码。

错误示范：直接返回字符串的Marshal函数

为了方便在模板中输出JSON，开发者通常会定义一个自定义的模板函数，例如命名为marshal，用于将Go对象序列化为JSON字符串。

以下是一个常见的错误实现方式：

"marshal": func(v interface {}) string {
  a, _ := json.Marshal(v)
  return string(a) // 返回string类型
},

在这个marshal函数中，json.Marshal将Go对象v转换为字节切片，然后被强制转换为string类型返回。当Go模板引擎处理这个string类型的值并将其输出到JavaScript上下文时，它会认为这是一个普通的字符串，并对其进行必要的转义以确保HTML/JS的安全性。这就是导致JSON字符串被额外转义的根本原因。

解决方案：使用template.JS类型

要解决Go模板自动转义JSON字符串的问题，核心在于告知模板引擎，我们提供的JSON字符串是安全的JavaScript内容，无需进行额外的转义。Go语言的html/template包为此提供了template.JS类型。

化妆美容美甲培训学校源码

一款织梦内核的化妆美甲培训学校源码，含整站栏目数据；演示站里边只生成了栏目页和首页，没有生成文章页，有朋友拿到源码的话可自行调试；截图为本地测试，确保可以正常使用，模板文件在templets文件夹下的pan文件夹中；留言可以在 核心——频道模板——自由列表中查看。

66

查看详情

template.JS是一个字符串类型别名，它实现了html/template包的html.Unescaper接口。当模板引擎遇到template.JS类型的值时，它会信任开发者已经确保了内容的安全性，并直接输出其原始字节内容，而不会进行任何转义。

正确实现：新的Marshal函数

我们可以修改之前的marshal函数，使其返回template.JS类型，而不是普通的string类型：

import (
    "encoding/json"
    "html/template" // 引入html/template包
)

// ... 在初始化模板时注册函数
// tmpl := template.New("myTemplate").Funcs(template.FuncMap{
//   "marshal": func(v interface {}) template.JS {
//     a, _ := json.Marshal(v)
//     return template.JS(a) // 返回template.JS类型
//   },
// })

在这个新的marshal函数中，json.Marshal的结果（字节切片a）被直接转换为template.JS(a)。现在，当模板引擎在渲染时调用这个marshal函数并获取到template.JS类型的值时，它将直接输出JSON字符串，而不会对其进行任何转义。

在模板中的应用

一旦更新了marshal函数的定义，模板中的使用方式保持不变：

<script>
  var data = {{ marshal .Arr }};
  console.log(data); // 现在data将是一个JavaScript数组或对象
</script>

经过这样的修改，{{ marshal .Arr }} 的输出将是未转义的JSON字符串，可以直接被JavaScript解析为对象或数组。

注意事项与安全考量

使用template.JS虽然解决了JSON转义问题，但引入了重要的安全考量：

1. 安全性至上： template.JS明确告诉模板引擎“这段内容是安全的JavaScript，请直接输出”。这意味着您作为开发者，承担了确保template.JS内容绝对安全的责任。如果JSON数据来源于用户输入且未经严格净化，直接将其转换为template.JS并输出，可能导致严重的跨站脚本攻击（XSS）漏洞。恶意用户可以通过注入包含JavaScript代码的JSON字符串来执行攻击。
2. 数据 vs. 代码： template.JS主要适用于注入纯粹的JSON数据。如果需要注入JavaScript代码片段，务必进行极其严格的输入验证和净化。对于纯粹的数据结构，json.Marshal生成的JSON字符串通常是安全的，但如果数据本身可能包含恶意HTML或JavaScript，则需要额外处理。
3. 客户端JSON.parse的替代方案： 客户端通过JSON.parse()解析转义后的字符串是一种安全且通用的替代方案。即使Go模板输出了被转义的JSON字符串（例如 var arr="[\"o1\",\"o2\"]"），前端依然可以通过 var arr = JSON.parse("[\"o1\",\"o2\"]"); 来正确解析。虽然这在客户端多了一步操作，但它提供了额外的安全层，尤其适用于对安全性有更高要求、或者您不确定数据源是否完全可信的场景。在某些情况下，客户端解析可能比在服务器端使用template.JS更安全。

总结

在Go模板中将JSON数据以未转义的形式输出到JavaScript上下文，关键在于理解html/template的自动转义机制，并利用template.JS类型来显式地标记安全内容。通过将json.Marshal的结果转换为template.JS，我们可以确保JSON数据直接被JavaScript引擎识别和使用。

然而，这种便利性必须与安全性进行权衡。开发者在使用template.JS时，务必确保所输出的JSON内容是可信且安全的，以避免引入潜在的XSS漏洞。在对安全性有疑虑或数据来源复杂的情况下，客户端的JSON.parse()方法仍然是一个值得考虑的健壮且安全的替代方案。

以上就是在Go模板中正确输出JSON数据到JavaScript上下文的详细内容，更多请关注php中文网其它相关文章！