本教程旨在解决在go模板中将go对象转换为json字符串时遇到的转义问题。通过介绍`html/template`包的安全机制,我们将演示如何使用`template.js`类型确保json数据以未转义的原始形式输出到客户端,从而避免在前端进行额外的`json.parse`操作。
在使用Go的html/template包渲染Web页面时,模板引擎会默认对输出内容进行自动转义,以防止跨站脚本攻击(XSS)。这意味着,当你在模板中打印一个普通的Go字符串时,例如一个JSON字符串,其中的特殊字符(如双引号"、反斜杠\等)会被转换成HTML实体或JavaScript字符串字面量中的转义序列。
例如,如果你期望在JavaScript代码中获得一个原始的JSON数组var arr=["o1","o2"],但由于自动转义,你可能会得到一个被双引号包围且内部字符被转义的字符串var arr="[\"o1\",\"o2\"]"。这种情况下,前端JavaScript代码需要额外调用JSON.parse()来将其转换回可用的JSON对象,增加了不必要的开销和复杂性。
考虑以下场景,我们有一个Go切片,并希望将其作为JSON数组直接嵌入到HTML模板的JavaScript部分:
package main
import (
"encoding/json"
"html/template"
"log"
"net/http"
)
// 假设我们有这样一个数据结构
type PageData struct {
Arr []string
}
// 错误的marshal函数:返回普通字符串
func marshalString(v interface{}) string {
a, err := json.Marshal(v)
if err != nil {
log.Printf("Error marshaling: %v", err)
return ""
}
return string(a)
}
func main() {
tmpl := template.New("index.html").Funcs(template.FuncMap{
"marshal": marshalString, // 注册错误的marshal函数
})
tmpl, err := tmpl.Parse(`
<!DOCTYPE html>
<html>
<head>
<title>JSON Output Test</title>
</head>
<body>
<script>
// 期望:var arr=["item1","item2"]
// 实际:var arr="[\"item1\",\"item2\"]"
var arr = {{ marshal .Arr }};
console.log(typeof arr, arr);
// 如果是字符串,需要手动解析
// var parsedArr = JSON.parse(arr);
// console.log(typeof parsedArr, parsedArr);
</script>
</body>
</html>
`)
if err != nil {
log.Fatalf("Error parsing template: %v", err)
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
data := PageData{
Arr: []string{"item1", "item2"},
}
if err := tmpl.Execute(w, data); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
}
})
log.Println("Server listening on :8080")
log.Fatal(http.ListenAndServe(":8080", nil))
}当上述代码运行时,浏览器中生成的JavaScript代码会是:
var arr = "[\"item1\",\"item2\"]"; console.log(typeof arr, arr); // 输出: string ["item1","item2"]
这里的arr是一个JavaScript字符串,而不是一个JavaScript数组。这是因为marshalString函数返回的是一个普通的Go string类型,Go模板引擎在将其嵌入到JavaScript上下文中时,为了安全起见,对其进行了转义处理。
为了告诉Go模板引擎某个字符串内容是安全的JavaScript代码,不应进行转义,我们需要使用html/template包中提供的特殊类型template.JS。当模板遇到template.JS类型的值时,它会直接输出其底层字符串内容,而不会进行任何转义。
修改marshal函数,使其返回template.JS类型:
package main
import (
"encoding/json"
"html/template" // 引入html/template包
"log"
"net/http"
)
// 假设我们有这样一个数据结构
type PageData struct {
Arr []string
}
// 正确的marshal函数:返回template.JS
func marshalJS(v interface{}) template.JS {
a, err := json.Marshal(v)
if err != nil {
log.Printf("Error marshaling: %v", err)
// 返回一个空的JS对象或数组,取决于预期
return template.JS("null")
}
return template.JS(a) // 关键:转换为template.JS类型
}
func main() {
tmpl := template.New("index.html").Funcs(template.FuncMap{
"marshal": marshalJS, // 注册正确的marshal函数
})
tmpl, err := tmpl.Parse(`
<!DOCTYPE html>
<html>
<head>
<title>JSON Output Test</title>
</head>
<body>
<script>
// 期望:var arr=["item1","item2"]
// 实际:var arr=["item1","item2"]
var arr = {{ marshal .Arr }};
console.log(typeof arr, arr); // 输出: object ["item1","item2"]
console.log(arr[0]); // 输出: item1
</script>
</body>
</html>
`)
if err != nil {
log.Fatalf("Error parsing template: %v", err)
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
data := PageData{
Arr: []string{"item1", "item2"},
}
if err := tmpl.Execute(w, data); err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
}
})
log.Println("Server listening on :8080")
log.Fatal(http.ListenAndServe(":8080", nil))
}使用上述修改后的marshalJS函数后,浏览器中生成的JavaScript代码将是:
var arr = ["item1","item2"]; console.log(typeof arr, arr); // 输出: object (2) ["item1", "item2"] console.log(arr[0]); // 输出: item1
现在,arr变量直接是一个JavaScript数组,无需额外的JSON.parse()操作。
在Go模板中将Go对象转换为JSON并直接输出到JavaScript上下文时,为了避免不必要的字符串转义,关键在于使用html/template.JS类型。通过将json.Marshal的输出结果封装成template.JS,可以指示模板引擎该内容是安全的JavaScript代码,从而直接以原始的JSON格式输出,简化前端处理流程并提高效率。然而,在使用template.JS时,务必牢记其安全含义,确保所输出的内容是可信的,以防范潜在的安全风险。
以上就是Go模板中安全地输出JSON数据:避免字符串转义问题的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
723
收藏
