json.Marshal 默认将中文转为 Unicode 转义,应使用 json.Encoder 并调用 SetEscapeHTML(false),同时显式设置响应头 Content-Type: application/json; charset=utf-8。
Go json.Marshal 返回中文是 Unicode 转义怎么办
默认情况下,json.Marshal 会把非 ASCII 字符(比如中文)转成 \u4f60\u597d 这种 Unicode 转义序列,浏览器或调试工具里看着像乱码,其实不是编码错误,只是没“人性化”显示。
解决方法很简单:用 json.Encoder 替代 json.Marshal,并调用 SetEscapeHTML(false):
encoder := json.NewEncoder(w) encoder.SetEscapeHTML(false) encoder.Encode(data)
-
SetEscapeHTML(false)不仅让中文直出,还会避免把、>等字符转义,适合 API 场景 - 别在
http.ResponseWriter上手动调w.Header().Set("Content-Type", "application/json; charset=utf-8")后再写字符串——那样容易漏掉encoder的自动换行和逗号处理 - 如果必须用
json.Marshal(比如要先日志记录),记得用bytes.ReplaceAll手动解转义(不推荐,易出错)
HTTP 响应头没设 UTF-8 导致前端解析失败
即使 JSON 内容本身是 UTF-8 编码,如果响应头缺失 charset=utf-8,某些老客户端(如 IE、部分安卓 WebView)可能按 ISO-8859-1 解析,中文就变问号或方块。
正确做法是在写 JSON 前显式设置响应头:
立即学习“go语言免费学习笔记(深入)”;
w.Header().Set("Content-Type", "application/json; charset=utf-8")
- 这行必须在
encoder.Encode()或w.Write()之前调用,否则无效 - 不要写成
"application/json;charset=UTF-8"(等号前后空格、大小写不敏感,但连写易被某些中间件截断) - 如果你用了 Gin/Echo 等框架,它们通常默认设置了,但自定义中间件或直接用
net/http时极易遗漏
结构体字段含 HTML 特殊字符,SetEscapeHTML(false) 引发 XSS 风险
关闭 HTML 转义虽能显示中文,但如果结构体字段来自用户输入(比如评论内容),且接口被嵌入 HTML 页面(如通过 document.write 或 innerHTML 渲染),就可能触发 XSS。
这不是 JSON 编码问题,而是使用方式错位:
- 纯 API 接口(返回给 JS
fetch或移动端)可以放心关转义 - 如果后端模板直接把 JSON 插入 HTML 的
标签里,必须保留SetEscapeHTML(true)(默认值),或改用更安全的注入方式(如data-属性 + JSON.parse) - 想兼顾可读性与安全?对敏感字段单独做
html.EscapeString处理,而不是全局关转义
Go 1.22+ 中 json.Marshal 默认不再转义斜杠,但旧版本仍需注意
Go 1.22 起,json.Marshal 默认不再对 / 转义为 \/(以前是为了防止 注入),但很多线上服务还在用 Go 1.19–1.21,仍会转义。
如果你看到 JSON 里大量 \/,不是乱码,也不影响解析,但看着别扭:
- 升级 Go 版本是最彻底的解法
- 降级兼容方案:继续用
json.Encoder+SetEscapeHTML(false),它不受斜杠转义逻辑影响 - 别用正则替换
\/→/,JSON 字符串内部的斜杠(如路径字段"path": "/api/v1/")本来就不该动
SetEscapeHTML,或者反过来——关了转义但没设 charset=utf-8。这两步得一起配齐,缺一不可。 
