html/template 默认自动转义防 XSS,text/template 不转义;嵌套模板需一次解析全部文件并用 ExecuteTemplate 指定入口;字段必须导出(大写开头),nil 指针需用 {{with}} 避免 panic;静态资源路径应通过变量或自定义函数注入而非硬编码。
Go 的 html/template 和 text/template 有什么区别?
直接用 html/template,别碰 text/template 做网页渲染——它不自动转义 HTML,容易导致 XSS。而 html/template 在插值时默认调用 html.EscapeString,比如 {{.UserInput}} 遇到 会变成纯文本显示。
只有当你明确需要输出原始 HTML(例如后台已审核过的富文本),才用 {{.SafeHTML | safeHTML}} 配合自定义函数,且必须加 template.FuncMap 注册 safeHTML 并返回 template.HTML 类型。
如何正确加载并执行嵌套模板?
常见错误是多次调用 template.ParseFiles 覆盖已有定义,或在子模板里用错 {{define}} / {{template}} 配对。正确流程是:一次解析全部文件,用 template.New 创建根模板,再用 ParseFiles 或 ParseGlob 加载所有 .tmpl 文件,最后通过 ExecuteTemplate 指定入口模板名。
- 模板文件名不能含空格或特殊符号,否则
ParseFiles找不到 -
{{define "header"}}定义的块,必须在另一个模板里用{{template "header" .}}调用,且传参保持上下文一致 - 如果用
template.Must包裹解析过程,出错会 panic,适合启动时加载;运行时动态更新模板建议手动检查 error
func loadTemplates() *template.Template {
t := template.New("").Funcs(template.FuncMap{
"formatDate": func(t time.Time) string {
return t.Format("2006-01-02")
},
})
return template.Must(t.ParseGlob("templates/*.tmpl"))
}
为什么 {{.Title}} 渲染为空或报 nil pointer?
根本原因通常是传入 Execute 的数据结构字段未导出(首字母小写),或指针为 nil 但字段非指针类型。Go 模板只访问导出字段(即大写开头),且对 nil 接口或结构体指针做字段访问会 panic。
立即学习“go语言免费学习笔记(深入)”;
- 确保结构体字段以大写字母开头,如
Title string,而非title string - 若传的是
*MyStruct,但该指针为nil,则整个.Title访问失败;可改用{{with .Data}}{{.Title}}{{end}}避免 panic - map 类型要用
map[string]interface{},且 key 必须是 string;用map[string]string无法访问嵌套字段 - 切片遍历用
{{range .Items}},内部作用域切换为当前元素,需用{{$root := .}}{{range .Items}}{{$.Title}}{{end}}回溯父级字段
静态资源路径和 URL 构造怎么不硬编码?
不要在模板里写死 /static/css/app.css,尤其部署在子路径(如 /myapp/)时会 404。应该把基础路径作为变量注入模板,或用自定义函数生成完整 URL。
- 在 handler 中传入
BaseURL: "/myapp",模板中写{{.BaseURL}}/static/css/app.css - 更健壮的方式是注册函数:
"absURL": func(path string) string { return baseURL + path },然后模板里用{{absURL "/static/js/main.js"}} - 注意:HTTP handler 中的
r.URL.Path是解码后的路径,不要直接拼进模板;路由匹配应由 mux 或 gin 等框架处理,模板只负责呈现
模板引擎本身不处理 HTTP 缓存头、Gzip 或 CDN,这些得在 handler 层统一加 w.Header().Set("Cache-Control", "public, max-age=3600")。
