本教程旨在解决在go模板中将go对象转换为json字符串时遇到的转义问题。通过介绍`html/template`包的安全机制,我们将演示如何使用`template.js`类型确保json数据以未转义的原始形式输出到客户端,从而避免在前端进行额外的`json.parse`操作。
理解Go模板的自动转义机制
在使用Go的html/template包渲染Web页面时,模板引擎会默认对输出内容进行自动转义,以防止跨站脚本攻击(XSS)。这意味着,当你在模板中打印一个普通的Go字符串时,例如一个JSON字符串,其中的特殊字符(如双引号"、反斜杠\等)会被转换成HTML实体或JavaScript字符串字面量中的转义序列。
例如,如果你期望在JavaScript代码中获得一个原始的JSON数组var arr=["o1","o2"],但由于自动转义,你可能会得到一个被双引号包围且内部字符被转义的字符串var arr="[\"o1\",\"o2\"]"。这种情况下,前端JavaScript代码需要额外调用JSON.parse()来将其转换回可用的JSON对象,增加了不必要的开销和复杂性。
错误的JSON输出方式及其问题
考虑以下场景,我们有一个Go切片,并希望将其作为JSON数组直接嵌入到HTML模板的JavaScript部分:
package main
import (
"encoding/json"
"html/template"
"log"
"net/http"
)
// 假设我们有这样一个数据结构
type PageData struct {
Arr []string
}
// 错误的marshal函数:返回普通字符串
func marshalString(v interface{}) string {
a, err := json.Marshal(v)
if err != nil {
log.Printf("Error marshaling: %v", err)
return ""
}
return string(a)
}
func main() {
tmpl := template.New("index.html").Funcs(template.FuncMap{
"marshal": marshalString, // 注册错误的marshal函数
})
tmpl, err := tmpl.Parse(`
JSON Output Test
`)
if err != nil {
log.Fatalf("Error parsing template: %v", err)
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
data := PageData{
Arr: []string{"item1", "item2"},
}
if err := tmpl.Execute(w, data); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
}
})
log.Println("Server listening on :8080")
log.Fatal(http.ListenAndServe(":8080", nil))
}当上述代码运行时,浏览器中生成的JavaScript代码会是:
var arr = "[\"item1\",\"item2\"]"; console.log(typeof arr, arr); // 输出: string ["item1","item2"]
这里的arr是一个JavaScript字符串,而不是一个JavaScript数组。这是因为marshalString函数返回的是一个普通的Go string类型,Go模板引擎在将其嵌入到JavaScript上下文中时,为了安全起见,对其进行了转义处理。
正确的解决方案:使用 template.JS 类型
为了告诉Go模板引擎某个字符串内容是安全的JavaScript代码,不应进行转义,我们需要使用html/template包中提供的特殊类型template.JS。当模板遇到template.JS类型的值时,它会直接输出其底层字符串内容,而不会进行任何转义。
修改marshal函数,使其返回template.JS类型:
package main
import (
"encoding/json"
"html/template" // 引入html/template包
"log"
"net/http"
)
// 假设我们有这样一个数据结构
type PageData struct {
Arr []string
}
// 正确的marshal函数:返回template.JS
func marshalJS(v interface{}) template.JS {
a, err := json.Marshal(v)
if err != nil {
log.Printf("Error marshaling: %v", err)
// 返回一个空的JS对象或数组,取决于预期
return template.JS("null")
}
return template.JS(a) // 关键:转换为template.JS类型
}
func main() {
tmpl := template.New("index.html").Funcs(template.FuncMap{
"marshal": marshalJS, // 注册正确的marshal函数
})
tmpl, err := tmpl.Parse(`
JSON Output Test
`)
if err != nil {
log.Fatalf("Error parsing template: %v", err)
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
data := PageData{
Arr: []string{"item1", "item2"},
}
if err := tmpl.Execute(w, data); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
}
})
log.Println("Server listening on :8080")
log.Fatal(http.ListenAndServe(":8080", nil))
}使用上述修改后的marshalJS函数后,浏览器中生成的JavaScript代码将是:
var arr = ["item1","item2"]; console.log(typeof arr, arr); // 输出: object (2) ["item1", "item2"] console.log(arr[0]); // 输出: item1
现在,arr变量直接是一个JavaScript数组,无需额外的JSON.parse()操作。
注意事项
- 安全性优先: 使用template.JS意味着你明确告诉模板引擎,你所提供的内容是安全的JavaScript代码,模板引擎将不再对其进行任何转义。因此,务必确保你传递给template.JS构造函数的内容是完全可信且无害的。如果JSON数据来自用户输入或其他不可信源,并且没有经过严格的验证和清理,直接将其转换为template.JS可能会导致XSS漏洞。
- 适用场景: template.JS主要用于在HTML模板的
-
其他安全类型: html/template包还提供了其他类似的类型,用于处理不同上下文中的安全输出:
- template.HTML: 用于输出安全的HTML内容。
- template.CSS: 用于输出安全的CSS样式。
- template.URL: 用于输出安全的URL。
- template.HTMLAttr: 用于输出安全的HTML属性值。
- 错误处理: 在json.Marshal过程中应妥善处理错误。如果Marshal失败,返回一个有效的空JSON结构(如"null"、"{}"或"[]")作为template.JS,而不是一个空字符串,可以避免前端JavaScript出现语法错误。
总结
在Go模板中将Go对象转换为JSON并直接输出到JavaScript上下文时,为了避免不必要的字符串转义,关键在于使用html/template.JS类型。通过将json.Marshal的输出结果封装成template.JS,可以指示模板引擎该内容是安全的JavaScript代码,从而直接以原始的JSON格式输出,简化前端处理流程并提高效率。然而,在使用template.JS时,务必牢记其安全含义,确保所输出的内容是可信的,以防范潜在的安全风险。
