golang web学习随便记6-模板引擎
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
以下代码是几乎最简单的一个模板{{ . }} 表示执行模板时将嵌入的数据
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Go Web 编程</title>
</head>
<body>
{{ . }}
</body>
</html>程序也足够简单就是解析模板文件得到模板对象执行模板输出结果
package main
import (
"html/template"
"net/http"
)
func process(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
t.Execute(w, "Golang编程就是简单")
}
func main() {
server := http.Server{
Addr: "127.0.0.1:8088",
}
http.HandleFunc("/process", process)
server.ListenAndServe()
}
运行结果为
模板可以是模板文件也可以是字符串在上述代码中添加一个处理器函数
// ...........................
func process2(w http.ResponseWriter, r *http.Request) {
strtpl := `
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Go Web 编程</title>
</head>
<body>
{{ . }}
</body>
</html>
`
t := template.New("strtpl.html")
t, _ = t.Parse(strtpl)
t.Execute(w, "字符串模板也简单")
}
// .......................
http.HandleFunc("/process2", process2)
// .......................
其实对于文件模板也是可以先New一个模板实例然后用实例的ParseFiles方法解析模板文件。直接template.ParseFiles相当于生成了以文件名为模板名的模板实例。ParseFiles方法接受的参数是可变个数的所以实际应用中是一堆模板相互嵌套时会把参数先放在一个数组然后调用ParseFiles时将数组打散传入。模板中有多个文件时必须有一个“主模板”如果执行模板时没有指定“主模板”调用的是Execute方法那么第一个将作为“主模板”。指定主模板时调用的是ExecuteTemplate方法如果模板是未命名的那么就用模板文件名作为模板名。模板解析过程中可能产生错误用 template.Must(...) 包裹模板解析函数的调用过程是一种“偷懒”的错误处理模式这种模式下发生错误时将产生panic。
golang web学习随便记1-快速入门_sjg20010414的博客-CSDN博客 中有基本的模板嵌套情况。
下面我们来看模板中的动作。先来看条件动作模板文件tpl.html
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>模板动作</title>
</head>
<body>
{{ if . }}
数字大于5
{{ else }}
数字为5或小于5
{{ end }}
<hr>
</body>
</html>package main
import (
"html/template"
"math/rand"
"net/http"
"time"
)
func actionif(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
rand.Seed(time.Now().Unix())
t.Execute(w, rand.Intn(10) > 5)
}
func main() {
server := http.Server{
Addr: "127.0.0.1:8088",
}
http.HandleFunc("/actionif", actionif)
server.ListenAndServe()
}
运行并从浏览器访问得到的结果可能是2种之一
然后来看迭代动作 需要注意的是迭代动作range有可选的fallback选项 else即没有数据时显示点什么。如果没有该选项要处理无数据提示会麻烦很多。
<body>
<ul>
{{ range . }}
<li>{{ . }}</li>
{{ else }}
<li>当前无数据</li>
{{ end }}
</ul>
</body>
package main
import (
"html/template"
"net/http"
)
func actionrange(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
daysOfWeek := []string{"星期一", "星期二", "星期三", "星期四", "星期五", "星期六", "星期日"}
t.Execute(w, daysOfWeek)
}
func main() {
server := http.Server{
Addr: "127.0.0.1:8088",
}
http.HandleFunc("/actionrange", actionrange)
server.ListenAndServe()
}
显示结果为
前面代码中{{ . }} 的值都是golang代码执行模板时提供的确定值但模板也提供了设置动作with可以在指定区域内使用模板内设定的其他值。with也包含else选项即with设定值为空时应该显示的信息。
<body>
<div>最难的语言是 {{ . }}</div>
<div>
{{ with "C++" }}
最难的语言是 {{ . }}
{{ else }}
最难的语言还是 {{ . }}
{{ end }}
</div>
<div>最难的语言又是 {{ . }} </div>
</body>package main
import (
"html/template"
"net/http"
)
func actionwith(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
t.Execute(w, "Rust")
}
func main() {
server := http.Server{
Addr: "127.0.0.1:8088",
}
http.HandleFunc("/actionwith", actionwith)
server.ListenAndServe()
}
输出结果为第二个图是把html模板中的C++去掉刷新后得到的不用重启服务器
golang模板是可以嵌套的使用包含动作 template 嵌入已命名的模板可以模块式构建模板。
下面的代码解析了模板t1.html和t2.htmlt1.html中嵌入了t2.html
// .....................
func actionInclude(w http.ResponseWriter, r *http.Request) {
t, err := template.ParseFiles("t1.html", "t2.html")
if err != nil {
fmt.Println(err)
}
t.Execute(w, "Rust")
}
// ..................................................
http.HandleFunc("/actioninclude", actionInclude)
// ..................................................<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Golang模板</title>
</head>
<body>
<div>这是 t1.html 上部</div>
<div>t1.html中 点. 的值为 {{ . }}</div>
<hr>
{{ template "t2.html" }}
<hr>
<div>这是 t1.html 下部</div>
</body>
</html><div style="background-color: yellow;">
这是 t2.html <br>
t2.html中 点. 的值为 {{ . }}
</div>运行后结果如下
我们可以发现执行模板时值传入到了主模板t1.html中t2.html没有获得值即模板嵌套时传入的值不会自动传入到嵌入模板中。如果我们希望传给t1.html的值也能传给t2.html需要对传值进行“接力” 方法是嵌入模板时在模板名称后添加参数最简单的传. 就会把母模板的参数传给子模板
{{ template "t2.html" . }}按上述代码修改t1.html不必重启服务器刷新后显示结果变成了
参数、变量、管道
模板中的参数指的是模板中的一个值它可能是布尔值、整数、字符串等字面量 也可能是结构体、结构体中一个字段、数组中一个键。参数还可能是变量、只返回一个值或同时返回一个错误的方法或者函数。参数还有一种情形就是一个.即处理器传递给模板引擎的数据。
在模板的动作中可以设置变量用$开头例如 $v = value, range $k, $v := .
模板中的管道可以把参数串联起来例如 {{ 3.1415926 | printf "%.2f" }} 就是浮点参数输出作为函数参数输入实现对结果的格式化。
printf 是Go模板引擎内置的函数让模板引擎强大的是不仅可以使用内置的函数还可以用户自定义函数。实现自定义函数的步骤是创建名为 FuncMap 的映射映射的键是模板中用的函数名映射的值则是 Golang实现中的函数名将 FuncMap 与模板绑定。需要注意定义的函数只能返回一个值或者一个值+一个错误。
下面的例子是一个日期格式化函数应用的例子
// ................................
func formatDate(t time.Time) string {
format := "2006年01月02日"
return t.Format(format)
}
func actionfunc(w http.ResponseWriter, r *http.Request) {
funcMap := template.FuncMap{ // 定义映射
"chndate": formatDate,
}
t := template.New("tpl.html").Funcs(funcMap) // 绑定映射到模板
t, _ = t.ParseFiles("tpl.html")
t.Execute(w, time.Now())
}
// ..............................................
http.HandleFunc("/actionfunc", actionfunc)
// ..............................................
<body>
<div>日期是管道方式 {{ . | chndate }}</div>
<div>日期是参数方式 {{ chndate . }}</div>
</body>
使用函数时我们既可以使用管道方式传递参数多个函数时可以连续处理也可以参数方式传递参数适合单个函数使用。显示结果是
上下文感知、转义、防XSS攻击
Golang模板引擎是具有上下文感知特性的即可以根据内容在文档中所处的位置不同的“身份”进行不同的呈现其中最明显的是对内容进行合适的转义。
<body>
<div>{{ . }}</div>
<div><a href="/{{ . }}">路径</a></div>
<div><a href="/?q={{ . }}">查询</a></div>
<div><a onclick="fn('{{ . }}')">点击</a></div>
</body>
// .........................
func contextAware(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
content := `我想知道<i>这段文本会怎样</i>`
t.Execute(w, content)
}
// ....................................................
http.HandleFunc("/context-aware", contextAware)
// ....................................................用curl命令能准确看出返回结果浏览器开发工具不能看出HTML转义。显示结果如下只贴了部分
sjg@sjg-PC:~$ curl -i 127.0.0.1:8088/context-aware
.................
<body>
<div>我想知道<i>这段文本会怎样</i></div>
<div><a href="/%e6%88%91%e6%83%b3%e7%9f%a5%e9%81%93%ef%bc%9a%3ci%3e%e8%bf%99%e6%ae%b5%e6%96%87%e6%9c%ac%e4%bc%9a%e6%80%8e%e6%a0%b7%ef%bc%9f%3c/i%3e">路径</a></div>
<div><a href="/?q=%e6%88%91%e6%83%b3%e7%9f%a5%e9%81%93%ef%bc%9a%3ci%3e%e8%bf%99%e6%ae%b5%e6%96%87%e6%9c%ac%e4%bc%9a%e6%80%8e%e6%a0%b7%ef%bc%9f%3c%2fi%3e">查询</a></div>
<div><a onclick="fn('我想知道\u003ci\u003e这段文本会怎样\u003c\/i\u003e')">点击</a></div>
</body>
..................明显的一点是html标记<i> 在 html 内容中 < 和 > 转义成了 < 和 > 在 href 属性值中无论是路径中还是查询参数中这两个符号和中文被 URL编码在 onclick 事件对应的 JavaScript代码中两个符号被 Unicode 编码。
下面的代码可以验证golang模板引擎防XSS的效果form.html、tpl.html、main.go
<body>
<form action="/process" method="post">
评论<input name="comment" type="text">
<hr>
<button id="submit">提交</button>
</form>
</body><body>
<div>{{ . }}</div>
</body>
// .................................
func process(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("tpl.html")
t.Execute(w, r.FormValue("comment")) // 读取表单数据合并到模板
}
func form(w http.ResponseWriter, r *http.Request) {
t, _ := template.ParseFiles("form.html")
t.Execute(w, nil) // 显示表单
}
// ........................................
http.HandleFunc("/process", process)
http.HandleFunc("/form", form)
// ........................................
运行并用浏览器访问 http://127.0.0.1:8088/form在表单中输入 <script>alert('啊哈');</script> 并提交可以发现浏览器“原样”输出了“JS代码”并不会触发执行。
有时候我们的确想要允许用户输入HTML代码或者JavaScript代码并在显示时执行我们可以“命令”Go不要转义把不想转义的内容作为参数传递给 template.HTML(..) 函数
前面代码修改一句
t.Execute(w, template.HTML(r.FormValue("comment"))) // 读取表单数据合并到模板重新运行并重新在表单中输入<script>alert('啊哈');</script> 并提交可以发现浏览器我是在Linux Edge 111.0.1661.54 64位上测试的弹出了模态对话框。
嵌套模板的做法其实在 golang web学习随便记1-快速入门_sjg20010414的博客-CSDN博客 中已经有例子这里不再赘述。指的注意的是在嵌套模板时通常使用 define action 定义动作给模板命名然后用命名的模板名进行引用。而且用定义动作可以实现在一个文件中定义多个不同名字的模板define动作有end来结束块也可以在不同的文件中定义同名的模板例如给网站提供不同的布局根据不同情况可以选择不同布局而布局模板名可以都叫layout。命名了模板就可以在 t.ExecuteTemplate(..) 函数的第二个参数中指定“主模板”。
最后来了解一下block action块动作它的引入是为了解决模板引用中子模板不存在时希望有个默认显示的问题。block动作允许用户定义一个模板并且立即被应用作为缺省时模板。
// ..........................................................
func actionBlock(w http.ResponseWriter, r *http.Request) {
rand.Seed(time.Now().Unix())
var t *template.Template
if rand.Intn(10) > 5 {
t, _ = template.ParseFiles("layout.html", "red.html")
} else {
t, _ = template.ParseFiles("layout.html")
}
t.ExecuteTemplate(w, "layout", "最好语言")
}
// ...................................................
http.HandleFunc("/actionblock", actionBlock)
// ...................................................
上面的代码中t 可能解析了 layout.html 和 red.html 两个模板文件也可能只解析了前者然后传递的参数为字符串“最好语言”。两个模板文件分别如下
{{ define "layout" }}
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Golang模板</title>
</head>
<body>
{{ block "content" . }}
<h1 style="color: blue;">{{ . }}其实地球人都知道PHP是最好的语言</h1>
{{ end }}
</body>
</html>
{{ end }}{{ define "content" }}
<h1 style="color: red;">{{ . }}Rust是最好的语言</h1>
{{ end }}在 layout.html 中用 block 动作引入模板 content当模板 content 存在时已经在 t 中被解析就用解析了的 red.html 的信息而如果模板 content 不存在block 内部定义的内容就会充当缺省模板。运行后连续访问 http://localhost:8088/actionblock, 显示结果会在以下两种结果中随机切换
