html/template 默认转义变量输出以防 xss,需用 safeHTML 或 template.HTML 显式声明可信 HTML;动态加载需用 fsnotify 重建 template 实例;自定义函数须通过 FuncMap 注册且签名受限;嵌套模板需统一解析或手动合并以共享 define。
为什么 html/template 默认会转义所有变量输出
这是 go 模板最常让人困惑的起点:你传入 "",页面上却显示为纯文本。因为 html/template 默认把所有 {{.var}} 视为 HTML 内容,自动调用 html.EscapeString 防止 XSS。这不是 bug,是安全默认。
如果你确定某段内容是可信的 HTML(比如 cms 后台编辑器存的富文本),必须显式声明:
- 用
{{.HTMLContent | safeHTML}},前提是.HTMLContent是template.HTML类型 - 不能直接写
{{.HTMLContent | safeHTML}}却传入普通字符串——会报错或静默失败 - 更安全的做法是在 handler 中提前转换:
data.HTMLContent = template.HTML(rawString)
如何让模板支持运行时动态加载和重载(开发期热更新)
Go 的 template.ParseFiles 或 ParseGlob 是编译期绑定路径的,但开发时改完 HTML 要重启服务太慢。关键不是“动态解析字符串”,而是绕过模板缓存、重新 parse。
典型做法是封装一个带文件监听的模板管理器:
立即学习“go语言免费学习笔记(深入)”;
- 用
fsnotify监听.tmpl文件变化 - 变化时调用
template.New("").ParseFiles(...)重建整个*template.Template - 注意:不能只调用
tpl.ParseFiles()复用旧对象,它会 panic —— 必须新建template.New实例 - 生产环境别开这个逻辑,用预编译或 embed 包进二进制
如何在模板中调用自定义函数(比如格式化时间、截取字符串)
Go 模板不支持任意函数调用,必须通过 FuncMap 显式注册,且函数签名受限(最多两个参数,第二个可为 Error)。
常见错误是函数返回值类型不对或没处理 error:
- 正确示例:
"datefmt": func(t time.Time) string { return t.format("2006-01-02") } - 错误写法:
"add": func(a, b int) (int, error)—— 模板引擎不接受双返回值(除非第二个是 error 且你用{{if err}}...包裹) - 注册时机必须在
Parse之前:tpl := template.New("base").Funcs(myFuncMap).ParseFiles(...) - 函数名不能含点号(
.),否则模板解析失败
嵌套模板 + layout 复用时,{{define}} 和 {{template}} 的作用域陷阱
很多人以为 {{define "main"}}...{{end}} 定义后就能全局引用,其实不然:每个 template.ParseFiles 返回的 *template.Template 是独立作用域,{{template "xxx"}} 只能在同一模板树内找定义。
解决方案只有两种:
- 用
template.Must(tpl.ParseFiles("layout.html", "page.html"))一次性加载多个文件,它们共享 define 空间 - 用
template.New("layout").Parse(...)创建主模板,再用newTpl.AddParseTree("page", pageTree)手动合并(较复杂) - 千万别在子模板里重复
{{define "layout"}}—— 这会导致{{template "layout"}}找到的是子模板自己的定义,而非 layout 文件里的
真正容易被忽略的是:嵌套层级深时,{{.}} 在 {{template}} 调用中默认传递当前上下文,但如果你写了 {{template "header" .User}},那 header 模板里 {{.}} 就只是 .User,不再是原数据结构。