投稿获客
  1. 创想鸟首页
  2. 后端开发

Go HTML 模板:安全渲染原始HTML内容而不被转义

程序猿 后端开发 阅读 0

Go HTML 模板:安全渲染原始HTML内容而不被转义

Go语言的html/template包默认会对管道中的HTML内容进行转义,以防止跨站脚本(XSS)攻击。若需在模板中插入原始、未转义的HTML,应将对应的数据字段类型明确声明为template.HTML。这样,模板引擎会将其视为安全HTML,直接渲染到输出中,从而避免不必要的转义。

Go HTML 模板的默认转义行为

html/template 包是 go 语言标准库中用于生成 html 输出的强大工具。为了增强安全性,它默认会对所有通过管道(pipeline)插入到 html 模板中的数据进行自动转义。这意味着,如果你的数据中包含 、&、” 等 html 特殊字符,它们会被转换为对应的 html 实体(例如,< 变为

然而,在某些场景下,我们可能需要渲染已经确定是安全的、包含原始 HTML 标记的内容。例如,从可信源获取的富文本内容,或者由后端生成的已知安全片段。在默认的转义机制下,这些原始 HTML 会被错误地转义,导致在浏览器中显示为纯文本而非预期的 HTML 结构。

考虑以下 Go 代码和 HTML 模板示例,它从 RSS 源获取新闻描述并尝试在网页上显示:

Go 代码片段(main.go):

package mainimport (    "fmt"    "html/template"    "log"    "net/http")// Item 结构体,Description 字段目前是 string 类型type Item struct {    Title       string    Link        string    Description string // 假设此字段可能包含原始HTML}func handler(w http.ResponseWriter, r *http.Request) {    // 模拟从RSS源获取的数据    data := struct {        ItemList []Item    }{        ItemList: []Item{            {                Title: "Go Template Example",                Link:  "http://example.com",                // 这是一个包含原始HTML的Description字段                Description: "
This is a rich text description with HTML tags.
",            },            {                Title: "Another Article",                Link:  "http://another.com",                Description: "Regular text description.",            },        },    }    tmpl, err := template.ParseFiles("index.html")    if err != nil {        http.Error(w, err.Error(), http.StatusInternalServerError)        return    }    if err := tmpl.Execute(w, data); err != nil {        http.Error(w, err.Error(), http.StatusInternalServerError)    }}func main() {    http.HandleFunc("/", handler)    fmt.Println("Server listening on :8080")    log.Fatal(http.ListenAndServe(":8080", nil))}

HTML 模板文件(index.html):

立即学习“前端免费学习笔记(深入)”;

    News Feed    
Latest News
    {{range .ItemList}}    
        
{{.Title}}
        
{{.Description}}
    
    {{end}}

当运行上述代码时,Description 字段中的原始 HTML 标记(如

, , )会被转义,导致浏览器渲染时显示为字面量字符串,而不是格式化的 HTML。例如,

This is a rich text description…

会在页面上显示为

This is a rich text description…

解决方案:使用 template.HTML 类型

为了指示 html/template 包某个字符串是安全的,不应被转义,我们需要将其类型明确声明为 template.HTML。template.HTML 是 html/template 包提供的一个特殊类型,它告诉模板引擎该字符串内容已经被验证为安全,可以直接插入到 HTML 输出中。

要解决上述问题,只需修改 Go 结构体中包含原始 HTML 的字段类型:

修改结构体字段类型: 将 Item 结构体中的 Description 字段从 string 类型更改为 template.HTML。

SciMaster SciMaster

全球首个通用型科研AI智能体

SciMaster 156 查看详情 SciMaster 

// Item 结构体,Description 字段现在是 template.HTML 类型type Item struct {    Title       string    Link        string    Description template.HTML // 将类型改为 template.HTML}

创建 template.HTML 实例: 在 Go 代码中为 Description 字段赋值时,需要将字符串显式转换为 template.HTML 类型。

data := struct {    ItemList []Item}{    ItemList: []Item{        {            Title: "Go Template Example",            Link:  "http://example.com",            // 将字符串转换为 template.HTML            Description: template.HTML("
This is a rich text description with HTML tags.
"),        },        {            Title: "Another Article",            Link:  "http://another.com",            Description: template.HTML("Regular text description."), // 即使是纯文本,也可以使用        },    },}

注意: HTML 模板文件 (index.html) 无需进行任何修改。模板引擎会根据传入的数据类型自动识别 template.HTML 并进行相应的处理。

完整示例

以下是修改后的完整 Go 代码和 HTML 模板,展示了如何正确地在 Go HTML 模板中渲染原始 HTML 内容。

Go 代码(main.go):

package mainimport (    "fmt"    "html/template" // 导入 html/template 包    "log"    "net/http"    "io/ioutil"    "encoding/xml" // 用于解析RSS数据)// RSS 结构体,匹配RSS XML的根元素type RSS struct {    XMLName xml.Name `xml:"rss"`    Items   Channel  `xml:"channel"`}// Channel 结构体,匹配RSS XML的channel元素type Channel struct {    XMLName  xml.Name `xml:"channel"`    ItemList []Item   `xml:"item"`}// Item 结构体,包含新闻条目的信息type Item struct {    Title       string        `xml:"title"`    Link        string        `xml:"link"`    Description template.HTML `xml:"description"` // 关键修改:使用 template.HTML}func main() {    // 模拟从Google News RSS获取数据    res, err := http.Get("http://news.google.com/news?hl=en&gl=us&q=samsung&um=1&ie=UTF-8&output=rss")    if err != nil {        log.Fatalf("Failed to fetch RSS: %v", err)    }    defer res.Body.Close()    asText, err := ioutil.ReadAll(res.Body)    if err != nil {        log.Fatalf("Failed to read RSS body: %v", err)    }    var rssData RSS    err = xml.Unmarshal(asText, &rssData)    if err != nil {        log.Fatalf("Failed to unmarshal RSS: %v", err)    }    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {        handler(w, r, rssData.Items)    })    fmt.Println("Server listening on :8080")    log.Fatal(http.ListenAndServe(":8080", nil))}func handler(w http.ResponseWriter, r *http.Request, channelData Channel) {    tmpl, err := template.ParseFiles("index.html")    if err != nil {        http.Error(w, fmt.Sprintf("Error parsing template: %v", err), http.StatusInternalServerError)        return    }    if err := tmpl.Execute(w, channelData); err != nil {        http.Error(w, fmt.Sprintf("Error executing template: %v", err), http.StatusInternalServerError)    }}

HTML 模板文件(index.html):

立即学习“前端免费学习笔记(深入)”;

    RSS News Feed            body { font-family: Arial, sans-serif; margin: 20px; }        .news-item { border: 1px solid #eee; padding: 15px; margin-bottom: 15px; border-radius: 5px; }        .news-item h2 { margin-top: 0; }        .news-item p { line-height: 1.6; }        
Latest News from RSS
    {{range .ItemList}}    
        
{{.Title}}
        {{/* Description 字段将作为原始HTML被渲染 */}}        
{{.Description}}
     
    {{end}}

现在,当运行此程序并在浏览器中访问 http://localhost:8080 时,Description 字段中的内容将作为原始 HTML 被渲染,而不再被转义。例如,如果 Description 包含表格或图片标签,它们将正常显示。

重要注意事项与最佳实践

安全性警示: 使用 template.HTML 意味着你信任该内容是安全的,不会引入恶意脚本。切勿直接将未经净化的用户输入赋值给 template.HTML 类型。如果内容来自用户,必须先经过严格的 HTML 净化库(如 bluemonday)处理,移除所有潜在的恶意标签和属性,然后再将其转换为 template.HTML。其他安全类型: html/template 包还提供了其他类似的类型来处理特定上下文中的安全内容:template.CSS: 用于 CSS 样式表内容。template.JS: 用于 JavaScript 代码。template.URL: 用于 URL 属性(如 href)。template.Srcset: 用于 标签的 srcset 属性。正确使用这些类型可以确保在不同上下文中生成安全的输出。html/template 与 text/template: Go 语言还有另一个模板包 text/template。text/template 不执行任何内容转义,因为它被设计用于生成非 HTML 的文本输出。如果你确定不需要 HTML 转义,并且生成的是纯文本,可以使用 text/template。但在生成 HTML 内容时,始终推荐使用 html/template 以利用其内置的安全机制。

总结

在 Go 语言的 html/template 中,默认的 HTML 转义是出于安全考虑,旨在防止 XSS 攻击。然而,当需要渲染已知安全的原始 HTML 内容时,可以通过将对应的数据字段类型声明为 template.HTML 来绕过自动转义。这一机制提供了一种灵活且安全的方式来处理富文本内容,但开发者必须牢记 template.HTML 意味着对内容的信任,因此务必确保其来源的安全性,对用户输入进行严格净化。

以上就是Go HTML 模板:安全渲染原始HTML内容而不被转义的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1160966.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

266.4K 文章
0 评论
1 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月2日 22:50:52
下一篇 2025年12月2日 22:52:06

相关推荐

  • soul怎么发长视频瞬间_Soul长视频瞬间发布方法

    可通过分段发布、格式转换或剪辑压缩三种方法在Soul上传长视频。一、将长视频用相册编辑功能拆分为多个30秒内片段,依次发布并标注“Part 1”“Part 2”保持连贯;二、使用“格式工厂”等工具将视频转为MP4(H.264)、分辨率≤1080p、帧率≤30fps、大小≤50MB,适配平台要求;三、…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    600

  • AO3镜像站备用镜像网址_AO3镜像站快速访问官网

    AO3镜像站备用网址包括ao3mirror.com和xiaozhan.icu,当主站archiveofourown.org无法访问时可切换使用,二者均同步更新内容并支持多语言检索与离线下载功能。 AO3镜像站备用镜像网址在哪里?这是不少网友都关注的,接下来由PHP小编为大家带来AO3镜像站快速访问官…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    200

  • 天猫app淘金币抵扣怎么使用

    在天猫app购物时,淘金币是一项能够帮助你节省开支的实用功能。掌握淘金币的抵扣使用方法,能让你以更实惠的价格买到心仪商品。 当你选好商品并准备下单时,记得查看商品页面是否支持淘金币抵扣。如果该商品支持此项功能,在提交订单的页面会明确显示相关提示。你会看到淘金币的具体抵扣比例——通常情况下,淘金币可按…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    500

  • Pboot插件缓存机制的详细解析_Pboot插件缓存清理的命令操作

    插件功能异常或页面显示陈旧内容可能是缓存未更新所致。PbootCMS通过/runtime/cache/与/runtime/temp/目录缓存插件配置、模板解析结果和数据库查询数据,提升性能但影响调试。解决方法包括:1. 手动删除上述目录下所有文件;2. 后台进入“系统工具”-“缓存管理”,勾选插件、…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    400

  • Word2013如何插入SmartArt图形_Word2013SmartArt插入的视觉表达

    答案:可通过四种方法在Word 2013中插入SmartArt图形。一、使用“插入”选项卡中的“SmartArt”按钮,选择所需类型并插入;二、从快速样式库中选择常用模板如组织结构图直接应用;三、复制已有SmartArt图形到目标文档后调整内容与格式;四、将带项目符号的文本选中后右键转换为Smart…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • 《kk键盘》一键发图开启方法

    如何在kk键盘中开启一键发图功能? 1、打开手机键盘,找到并点击“kk”图标。 2、进入工具菜单后,选择“一键发图”功能入口。 3、点击“去开启”按钮,跳转至无障碍服务设置页面。 4、在系统通用设置中,进入“已下载的应用”列表。 j2me3D游戏开发简单教程 中文WORD版 本文档主要讲述的是j2m…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    200

  • 怎样用免费工具美化PPT_免费美化PPT的实用方法分享

    利用KIMI智能助手可免费将PPT美化为科技感风格,但需核对文字准确性;2. 天工AI擅长优化内容结构,提升逻辑性,适合高质量内容需求;3. SlidesAI支持语音输入与自动排版,操作便捷,利于紧急场景;4. Prezo提供多种模板,自动生成图文并茂幻灯片,适合学生与初创团队。 如果您有一份内容完…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • Pages怎么协作编辑同一文档 Pages多人实时协作的流程

    首先启用Pages共享功能,点击右上角共享按钮并选择“添加协作者”,设置为可编辑并生成链接;接着复制链接通过邮件或社交软件发送给成员,确保其使用Apple ID登录iCloud后即可加入编辑;也可直接在共享菜单中输入邮箱地址定向邀请,设定编辑权限后发送;最后在共享面板中管理协作者权限,查看实时在线状…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    200

  • jm漫画官方正版入口 jm漫画官方网站登录链接

    JM漫画作为一个致力于为广大漫画爱好者服务的全方位的数字漫画阅读平台,凭借其海量的资源储备、卓越的阅读体验和人性化的功能设计,在众多同类平台中脱颖而出。它不仅收录了来自世界各地的热门连载与经典完结作品,更通过智能推荐算法,精准地将符合用户口味的精彩内容呈现眼前,让每一位用户都能在这里找到属于自己的精…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 怎么下载安装快手极速版_快手极速版下载安装详细教程

    1、优先通过华为应用市场搜索“快手极速版”,确认开发者为北京快手科技有限公司后安装;2、若应用商店无结果,可访问快手极速版官网下载APK文件,需手动开启浏览器的未知来源安装权限;3、也可选择豌豆荚、应用宝等可信第三方平台下载官方版本,核对安全标识后完成安装。 如果您尝试在手机上安装快手极速版,但无法…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 哔哩哔哩的视频卡在加载中怎么办_哔哩哔哩视频加载卡顿解决方法

    视频加载停滞可先切换网络或重启路由器,再清除B站缓存并重装应用,接着调低播放清晰度并关闭自动选分辨率,随后更改播放策略为AVC编码,最后关闭硬件加速功能以恢复播放。 如果您尝试播放哔哩哔哩的视频,但进度条停滞在加载状态,无法继续播放,这通常是由于网络、应用缓存或播放设置等因素导致。以下是解决此问题的…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • REDMI K90系列正式发布,售价2599元起!

    10月23日,redmi k90系列正式亮相,推出redmi k90与redmi k90 pro max两款新机。其中,redmi k90搭载骁龙8至尊版处理器、7100mah大电池及100w有线快充等多项旗舰配置,起售价为2599元,官方称其为k系列迄今为止最完整的标准版本。 图源:REDMI红米…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    200

  • 买家网购苹果手机仅退款不退货遭商家维权,法官调解后支付货款

    10 月 24 日消息,据央视网报道,近年来,“仅退款”服务逐渐成为众多网购平台的常规配置,但部分消费者却将其当作“免费试用”的手段,滥用规则谋取私利。 江苏扬州市民李某在某电商平台购买了一部苹果手机,第二天便以“不想要”为由在线申请“仅退款”,当时手机尚在物流运输途中。第三天货物送达后,李某签收了…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • Linux中如何安装Nginx服务_Linux安装Nginx服务的完整指南

    首先更新系统软件包,然后通过对应包管理器安装Nginx,启动并启用服务,开放防火墙端口,最后验证欢迎页显示以确认安装成功。 在Linux系统中安装Nginx服务是搭建Web服务器的第一步。Nginx以高性能、低资源消耗和良好的并发处理能力著称,广泛用于静态内容服务、反向代理和负载均衡。以下是在主流L…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • 当贝X5S怎样看3D

    当贝X5S观看3D影片无立体效果时,需开启3D模式并匹配格式:1. 播放3D影片时按遥控器侧边键,进入快捷设置选择3D模式;2. 根据片源类型选左右或上下3D格式;3. 可通过首页下拉进入电影专区选择3D内容播放;4. 确认片源为Side by Side或Top and Bottom格式,并使用兼容…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • Linux journalctl与systemctl status结合分析

    先看 systemctl status 确认服务状态,再用 journalctl 查看详细日志。例如 nginx 启动失败时,systemctl status 显示 Active: failed,journalctl -u nginx 发现端口 80 被占用,结合两者可快速定位问题根源。 在 Lin…

    程序猿的头像 程序猿
    2025年12月6日 运维
    100

  • 华为新机发布计划曝光:Pura 90系列或明年4月登场

    近日,有数码博主透露了华为2025年至2026年的新品规划,其中pura 90系列预计在2026年4月发布,有望成为华为新一代影像旗舰。根据路线图,华为将在2025年底至2026年陆续推出mate 80系列、折叠屏新机mate x7系列以及nova 15系列,而pura 90系列则将成为2026年上…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    100

  • TikTok视频无法下载怎么办 TikTok视频下载异常修复方法

    先检查链接格式、网络设置及工具版本。复制以https://www.tiktok.com/@或vm.tiktok.com开头的链接,删除?后参数,尝试短链接;确保网络畅通,可切换地区节点或关闭防火墙;更新工具至最新版,优先选用yt-dlp等持续维护的工具。 遇到TikTok视频下载不了的情况,别急着换…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • Linux如何防止缓冲区溢出_Linux防止缓冲区溢出的安全措施

    缓冲区溢出可通过栈保护、ASLR、NX bit、安全编译选项和良好编码实践来防范。1. 使用-fstack-protector-strong插入canary检测栈破坏;2. 启用ASLR(kernel.randomize_va_space=2)随机化内存布局;3. 利用NX bit标记不可执行内存页…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • 2025年双十一买手机选直板机还是选折叠屏?建议看完这篇再做决定

    随着2025年双十一购物节的临近,许多消费者在选购智能手机时都会面临一个共同的问题:是选择传统的直板手机,还是尝试更具科技感的折叠屏设备?其实,这个问题的答案早已在智能手机行业的演进中悄然浮现——如今的手机市场已不再局限于“拼参数、堆配置”的初级竞争,而是迈入了以形态革新驱动用户体验升级的新时代。而…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

发表回复

登录后才能评论
关注微信