是。velocity默认对$variable插值做html转义,导致xml标签被破坏;可用$esc.xml($content)或#[[ ]]原生语法解决,前者适合变量含特殊字符,后者适合大段xml内容。
Velocity模板中直接输出XML内容会自动转义吗
会。Velocity默认对 $variable 插值做 HTML 转义(如 → <code><),这在生成 XML 时会导致标签被破坏,比如 <user>Alice</user> 变成 <user>Alice</user>,XML 解析失败。
用 $esc.xml 工具类还是 #[[ ]] 原生语法
两者都可用,但适用场景不同:
-
$esc.xml($content)是传统方式,适合变量本身含特殊字符(如含&、、<code>"的字符串),它只对 XML 特殊字符做转义(&→&,→<code><等) -
#[[ $xmlString ]]是 Velocity 2.0+ 引入的“原始块语法”,完全跳过所有转义,适合已确认安全、格式正确的 XML 片段(例如拼好的<item>...</item>字符串) - 若 XML 内容来自用户输入或不可信数据,
$esc.xml()更稳妥;若只是模板内硬编码或服务端已构造好的 XML 字符串,#[[ ]]更简洁
常见错误:混用转义导致双重编码
典型表现是 XML 中出现 这类嵌套编码,解析器直接报错。原因常是:
- 变量本身已是转义后的字符串(如后端传入
"<name>Tom</name>"),又套了一层$esc.xml() - 误用
$esc.html()处理 XML 内容(它会多转义斜杠、引号等,不适用于 XML) - 在
#[[ ]]块里又调用$esc.xml(),造成冗余
验证方法:打印原始变量值($responseXml)和处理后值对比,确认是否已含 & 前缀。
完整示例:生成合规的 XML 响应
假设后端传入变量:$userName = "Alice & Bob",$xmlBody = "<user><name>Alice & Bob</name></user>":
#set($userName = "Alice & Bob")
#set($xmlBody = "<user><name>Alice & Bob</name></user>")
<?xml version="1.0" encoding="UTF-8"?>
<response>
<status>success</status>
<data>
#[[ $xmlBody ]]
</data>
<rawName>$esc.xml($userName)</rawName>
</response>
注意:#[[ $xmlBody ]] 直接输出原字符串,而 $userName 需经 $esc.xml() 处理——因为它是纯文本内容,不是完整 XML 标签。
真正容易被忽略的是:XML 声明行(<?xml ...?>)必须独立存在且位于最开头,Velocity 模板里任何前置空格、换行、注释都会让解析器拒收。务必检查生成结果的首字节是不是 。
