35

Goテンプレート関数を呼び出してHTMLを出力すると、が表示されますZgotmplZ

サンプルコード:

http://play.golang.org/p/tfuJa_pFkm

package main

import (
    "html/template"
    "os"
)

func main() {
    funcMap := template.FuncMap{
        "printSelected": func(s string) string {
            if s == "test" {
                return `selected="selected"`
            }
            return ""
        },

        "safe": func(s string) template.HTML {
            return template.HTML(s)
        },
    }
    template.Must(template.New("Template").Funcs(funcMap).Parse(`
    <option {{ printSelected "test" }} {{ printSelected "test" | safe }} >test</option>
    `)).Execute(os.Stdout, nil)

}

出力:

<option ZgotmplZ ZgotmplZ >test</option>
4

6 に答える 6

34

「ZgotmplZ」は、安全でないコンテンツが実行時にCSSまたはURLコンテキストに到達したことを示す特別な値です。例の出力は次のようになります。

 <img src="#ZgotmplZ">

安全でattr関数をテンプレートfuncMapに追加できます。

パッケージメイン

import (
    "html/template"
    "os"
)

func main() {
    funcMap := template.FuncMap{
        "attr":func(s string) template.HTMLAttr{
            return template.HTMLAttr(s)
        },
        "safe": func(s string) template.HTML {
            return template.HTML(s)
         },
    }

    template.Must(template.New("Template").Funcs(funcMap).Parse(`
    <option {{  .attr |attr }} >test</option>
        {{.html|safe}}
     `)).Execute(os.Stdout,   map[string]string{"attr":`selected="selected"`,"html":`<option selected="selected">option</option>`})
}

出力は次のようになります。

<option selected="selected" >test</option>
<option selected="selected">option</option>

文字列をtemplate.CSS、template.JS、template.JSStr、template.URLなどに変換できる他の関数を定義することもできます。

于 2013-02-10T10:11:24.283 に答える
7

<img src="{{myfunction}}">myfunctionがエンコードされた画像を返す場所についても同様の問題がありました。

最後に、文字列関数の代わりにを返すときにそれを解決しましたtemplate.URL(mystring)

于 2015-10-18T18:07:50.357 に答える
4

template / htmlが安全でないと思われる場所(たとえば、次のようなHTML要素内)にHTMLを出力しようとしています。

<option {{ printSelected }}>

安全だと納得させる方法が見つかりません(文字列の代わりにtemplate.HTMLを返すことを含む)。私が見つけた唯一の代替手段は、テンプレートを書き直すことです。この例では、代わりにブール出力を使用します。

<option {{ if printSelected }}selected{{ end }}>
于 2013-02-08T03:51:50.260 に答える
3

最も簡単な方法:

import "html/template"
yourhref = template.URL(yourhref)
于 2018-01-25T13:39:32.453 に答える
3 
package main

import (
    "html/template"
    "os"
)

type T struct {
    HTML template.HTML
    ATTR template.HTMLAttr
    URL  template.URL
    JS   template.JS
    CSS  template.CSS
}

func main() {

    data := T{
        HTML: `<div>test div</div>`,
        ATTR: `selected="selected"`,
        URL:  `https://upload.wikimedia.org/wikipedia/commons/5/53/Google_%22G%22_Logo.svg`,
        CSS:  `font-size: 15px`,
        JS:   `console.log("hello world")`,
    }

    template.Must(template.New("Template").Parse(`
        {{.HTML}}
        <option {{.ATTR}} style="{{.CSS}}">test</option>
        <script>{{.JS}}</script>
        <img src="{{.URL}}">
    `)).Execute(os.Stdout, data)
}

出力

<div>test div</div>
<option selected="selected" style="font-size: 15px">test</option>
<script>console.log("hello world")</script>
<img src="https://upload.wikimedia.org/wikipedia/commons/5/53/Google_%22G%22_Logo.svg">

遊び場の例

于 2019-10-07T20:46:56.373 に答える
0

文字列は、HTMLAttr山括弧の間に挿入されるテキスト用に設計されたで囲む必要があります。ドキュメントによると:

https://golang.org/pkg/html/template/#HTMLAttr

HTMLAttrは、信頼できるソースからのHTML属性をカプセル化します(例: dir="ltr"

このタイプを使用すると、セキュリティ上のリスクが発生します。カプセル化されたコンテンツは、テンプレート出力に逐語的に含まれるため、信頼できるソースから取得する必要があります。

type HTMLAttr string

于 2018-06-12T17:59:05.227 に答える