html/template 默认转义所有数据以防止 XSS,仅 template.HTML 等安全类型跳过转义;结构体字段需导出且支持链式访问;多文件继承需用 define/template 模拟;常见问题包括路径错误、函数未注册和模板未重载。
Go 的 html/template 能安全渲染 HTML,但默认会转义所有数据;要插入原始 HTML 或动态属性,必须显式标记为安全,否则内容会被当成纯文本显示。
为什么 template.Execute 渲染出的 HTML 全是转义字符?
这是 html/template 的默认行为,目的是防止 XSS。它把 <、>、" 等全部转成 HTML 实体,比如 <div> 变成 <div>。
<ul>
<li>只有传入类型为 <code>template.HTML 的值,才会跳过转义
template.URL、template.JS、template.CSS 等也各自对应不同上下文的安全类型string 强转 —— 必须用 template.HTML(s) 显式转换func handler(w http.ResponseWriter, r *http.Request) {
data := struct {
Content template.HTML
}{
Content: template.HTML(`<strong>Hello</strong>`),
}
t := template.Must(template.New("").Parse(`<div>{{.Content}}</div>`))
t.Execute(w, data)
}
如何在模板中绑定结构体字段并支持嵌套访问?
Go 模板使用点号(.)表示当前作用域,结构体字段名必须首字母大写(即导出),且不能是私有字段。
- 支持链式访问:
{{.User.Name}}、{{.Items.0.ID}} - 字段名区分大小写,
name和Name是两个东西 - 如果字段是 nil 指针或空 slice,访问其子字段会静默失败(输出空字符串),不会 panic
- 可用
with或if预先判断非空:{{with .User}}{{.Name}}{{end}}
type PageData struct {
Title string
User *User
Tags []string
}
type User struct {
Name string
Email string
}
// 模板中:
// {{.Title}} → 正常输出
// {{.User.Email}} → 若 User == nil,结果为空,不报错
// {{if .User}}{{.User.Name}}{{end}}
怎么让模板加载多个文件并支持继承(如 base.html + content.html)?
Go 原生不支持“模板继承”语法(如 Django 的 {% extends %}),但可通过 define/template 配合 ParseGlob 模拟。
立即学习“go语言免费学习笔记(深入)”;
- 用
ParseGlob("*.html")一次性加载多个文件 - 在 base 模板里用
{{define "base"}}...{{template "content" .}}{{end}} - 在子模板里用
{{define "content"}}...{{end}},然后执行t.ExecuteTemplate(w, "base", data) - 注意:所有
define名称全局唯一,重复定义会 panic
// base.html
<html><body>
{{template "content" .}}
</body></html>
// home.html
{{define "content"}}
<h1>{{.Title}}</h1>
{{end}}
// Go 中:
t := template.Must(template.ParseGlob("*.html"))
t.ExecuteTemplate(w, "base", struct{ Title string }{"Home"})
常见踩坑:函数未注册、路径错误、缓存导致修改不生效
开发时改了模板却看不到效果,大概率是以下三个原因。
-
template.ParseFiles或ParseGlob路径写错(相对路径基于运行目录,不是源码目录) - 模板函数没注册就直接在模板里调用,例如
{{dateFmt .Time}}却没用Funcs注册dateFmt - 模板被复用且未重新解析 ——
template对象是可复用的,但修改文件后不会自动 reload,需重启服务或手动重解析
调试建议:启动时打印 t.DefinedTemplates() 看是否加载成功,或用 template.Must 包裹解析过程,让错误立刻 panic 出来。
