次の文字列テンプレートを想定すると、Java Bean オブジェクトのリストが与えられます。
<ul>$people:{p|<li>$p.name$ $p.email</li>}$</ul>
つまり、人々のリストにはPerson、強化/拡張する能力がある場合とない場合があるオブジェクトが含まれている場合があります。
class Person {
....
public getName() { ... }
public getEmail() { ... }
}
およびメソッドはサニタイズされた (エスケープされた html エンティティ)getName()をgetEmail()返しません。これをどのように回避しますか?
たとえば、次のようなカスタム レンダラーを使用できます。
public static class HtmlEscapeStringRenderer implements AttributeRenderer {
public String toString(Object o, String s, Locale locale) {
return (String) (s == null ? o : StringEscapeUtils.escapeHtml((String) o));
}
}
次に、テンプレートでエスケープすることを示します。
$p.name;format="html"$
そうは言っても、入力時にデータをスクラブしたり、テンプレートに送信する前に変換したり、装飾された人物をテンプレートに送信したりすることを好むかもしれません.
public class App {
public static void main(String[] args) {
STGroupDir group = new STGroupDir("src/main/resource", '$', '$');
group.registerRenderer(String.class, new HtmlEscapeStringRenderer());
ST st = group.getInstanceOf("people");
st.add("people", Arrays.asList(
new Person("<b>Dave</b>", "dave@ohai.com"),
new Person("<b>Nick</b>", "nick@kthxbai.com")
));
System.out.println(st.render());
}
public static class HtmlEscapeStringRenderer implements AttributeRenderer {
public String toString(Object o, String s, Locale locale) {
return (String) (s == null ? o : StringEscapeUtils.escapeHtml((String) o));
}
}
}
これは以下を出力します:
<ul><li><b>Dave</b> dave@ohai.com</li><li><b>Nick</b> nick@kthxbai.com</li></ul>
このために独自のレンダラーを作成する必要はありません。組み込みのレンダラー org.stringtemplate.v4.StringRenderer を使用できます
group.registerRenderer(String.class, new StringRenderer());
テンプレートに追加します:
<ul>$people:{p|<li>$p.name;format="xml-encode"$ $p.email;format="xml-encode"$</li>}$</ul>