本文探讨了在 go 的 `html/template` 包中,如何在不使用 “ 标签的情况下,将 go 数据结构作为 json 字符串安全地嵌入到 html 内容中。我们将介绍两种主要方法:利用 `encoding/json` 进行数据序列化并结合 `template.html` 类型来阻止不必要的 html 转义,以及理解 `js` 上下文过滤器在 javascript 字面量转义中的作用及其与 json 序列化的区别,确保输出内容的正确性和安全性。
在现代 Web 开发中,我们经常需要将后端 Go 应用程序中的数据结构直接作为 JSON 格式嵌入到 HTML 页面中。这通常用于初始化 JavaScript 库(例如 X-Editable 的 source 属性)、填充 data-* 属性,或在不使用 AJAX 的情况下向前端传递配置信息。html/template 包在处理输出时,默认会进行 HTML 转义以防止跨站脚本攻击 (XSS)。然而,当我们需要输出原始的 JSON 字符串时,这种默认行为会把 ” 转换为 “、[ 转换为 [ 等,导致输出不再是有效的 JSON。
本教程将详细介绍两种实现这一目标的方法,并明确它们各自的适用场景和注意事项。
方法一:使用 encoding/json 和 template.HTML 实现真正的 JSON 输出
当目标是生成一个有效的 JSON 字符串,并将其直接嵌入到 HTML 元素(例如作为 data-* 属性的值,或在非 标签的文本内容中)时,这是最推荐且最安全的方法。
原理说明
JSON 序列化:首先,在 Go 代码中,使用标准库 encoding/json 将 Go 数据结构序列化为 JSON 格式的字节数组或字符串。标记为安全 HTML:然后,将生成的 JSON 字符串包装到 template.HTML 类型中。html/template 包在遇到 template.HTML 类型的数据时,会认为这段内容是“安全”的,因此不会对其进行额外的 HTML 转义。
示例代码
package mainimport ( "encoding/json" "html/template" "log" "os")func main() { // 定义一个示例数据结构 type KeyValue struct { A, B string } // 创建一个数据切片 data := []KeyValue{{"foo", "bar"}, {"bar", "baz"}} // 步骤 1: 使用 encoding/json 将 Go 数据结构序列化为 JSON 字符串 // MarshalIndent 可以生成格式化的 JSON,方便阅读;Marshal 则生成紧凑的 JSON。 jsonBytes, err := json.MarshalIndent(data, "", " ") if err != nil { log.Fatalf("JSON 序列化失败: %v", err) } jsonString := string(jsonBytes) // 步骤 2: 将 JSON 字符串包装成 template.HTML 类型 // 这会告诉 html/template,该字符串是安全的 HTML,不需要进行转义。 safeJSON := template.HTML(jsonString) // 定义模板,直接输出数据 // 注意:这里的 {{.}} 将直接输出 safeJSON 的内容,不会再进行 HTML 转义。 tmpl, err := template.New("jsonOutput").Parse(`Hello ` + "n") if err != nil { log.Fatal(err) } // 执行模板 log.Println("--- 使用 template.HTML 输出 JSON ---") err = tmpl.Execute(os.Stdout, safeJSON) if err != nil { log.Fatal(err) } // 另一个示例:直接在 body 中输出 tmplBody, err := template.New("jsonBody").Parse(`Hello {{.}}` + "n") if err != nil { log.Fatal(err) } log.Println("n--- 直接在 body 中输出 JSON ---") err = tmplBody.Execute(os.Stdout, safeJSON) if err != nil { log.Fatal(err) }}
输出结果
--- 使用 template.HTML 输出 JSON ---Hello --- 直接在 body 中输出 JSON ---Hello [ { "A": "foo", "B": "bar" }, { "A": "bar", "B": "baz" }]
从输出可以看出,JSON 字符串被完整且正确地嵌入到了 HTML 中,没有经过任何 HTML 转义。这正是我们所期望的,例如,可以用于 data-json 属性或直接作为页面内容。
立即学习“前端免费学习笔记(深入)”;
注意事项
安全性:只有当您确定 JSON 字符串的内容是可信的,或者它已经通过 encoding/json 正确序列化(该库本身会处理字符串中的特殊字符转义,例如 ” 会被转义为 “),才应该使用 template.HTML。如果将不可信的原始用户输入直接包装成 template.HTML,将可能导致 XSS 漏洞。属性值转义:当 JSON 字符串作为 HTML 属性值时(如 data-json=’…’),如果 JSON 字符串内部包含单引号 ‘,可能会导致属性值提前结束。通常情况下,encoding/json 会将内部的 ‘ 转义为 u0027,” 转义为 “,这在大多数情况下是安全的。如果属性值使用双引号 ” 包裹,则 JSON 字符串内部的 ” 需被 ” 转义,而 html/template 在 {{.}} 输出到属性上下文时,会进一步处理 ” 为 “。为了避免复杂性,推荐在 HTML 属性中使用单引号包裹属性值,并确保 JSON 字符串内部不包含裸露的单引号。json.Marshal 产生的 JSON 字符串通常只包含双引号,所以使用单引号包裹属性值是安全的。
方法二:理解 js 上下文过滤器(JavaScript 字面量转义)
html/template 包提供了一个内置的 js 上下文过滤器,其作用是将值转义,使其可以安全地作为 JavaScript 字面量嵌入到 JavaScript 代码中。然而,它并不会将 Go 数据结构序列化为 JSON 字符串。
功能说明
{{js .}} 的主要目的是确保 Go 变量的值在 JavaScript 代码中作为字符串、数字或布尔值字面量使用时不会破坏 JavaScript 语法或引入 XSS 漏洞。例如,如果 Go 变量是一个字符串 alert(‘XSS’),在 {{js .}} 处理后可能会变成 ‘alert(‘XSS’)’,可以安全地嵌入到 JavaScript 变量赋值中。
示例代码及输出分析
package mainimport ( "html/template" "log" "os")func main() { type KeyValue struct { A, B string } data := []KeyValue{{"foo", "bar"}, {"bar", "baz"}} // 定义模板,使用 {{js .}} // 注意:这里的 {{js .}} 会对 data 进行 JavaScript 字面量转义,但不会进行 JSON 序列化。 tmplJS, err := template.New("jsOutput").Parse("Hello {{js .}}n") if err != nil { log.Fatal(err) } // 执行模板 log.Println("--- 使用 {{js .}} 输出 ---") err = tmplJS.Execute(os.Stdout, data) if err != nil { log.Fatal(err) }}
输出结果
--- 使用 {{js .}} 输出 ---Hello [{foo bar} {bar baz}]
与 JSON 序列化的区别
从输出可以看出,{{js .}} 并没有将 data 切片转换为标准的 JSON 格式,例如 “A”: “foo”。它只是输出了 Go 结构体的默认字符串表示,并确保其中的特殊字符(如引号、斜杠等)被正确转义,以便在 JavaScript 环境中安全使用。对于 Go 结构体或切片,其默认的字符串表示通常是 {字段名: 字段值} 的形式。
因此,{{js .}} 不适用于在 HTML 中生成有效的 JSON 字符串。 如果您需要的是符合 JSON 规范的数据,以便被 JavaScript 解析器或库正确识别,请务必使用方法一。
总结与最佳实践
在 Go 的 html/template 中嵌入 JSON 数据时,选择正确的方法至关重要:
当您需要一个标准的、可被 JavaScript 解析器识别的 JSON 字符串时:
最佳实践:始终使用 encoding/json.Marshal(或 MarshalIndent)将 Go 数据结构序列化为 JSON 字符串。然后,将结果包装成 template.HTML 类型,以防止 html/template 对其进行不必要的 HTML 转义。示例:template.HTML(string(json.Marshal(myData)))适用场景:data-* 属性、初始化 JavaScript 库的配置对象、内联 JSON 数据块等。
当您需要在 标签内安全地嵌入一个 Go 变量作为 JavaScript 字面量时:
适用场景:将一个简单的 Go 字符串或数字直接赋值给 JavaScript 变量。使用 {{js .}} 上下文过滤器。重要提示:{{js .}} 不会将 Go 数据结构序列化为 JSON。它只负责转义,使其在 JavaScript 语法中安全。
通过理解这两种方法的区别和适用场景,您可以确保在 Go 应用程序中安全、高效地将数据以 JSON 格式嵌入到 HTML 页面中,同时避免潜在的安全漏洞和数据格式错误。
以上就是Go html/template:在 HTML 中安全地嵌入 JSON 数据的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1417894.html
微信扫一扫 
支付宝扫一扫 
