为什么我的 Go HTML 模板输出'ZgotmplZ”？

理解 Go HTML 模板中的“ZgotmplZ”

使用 Go HTML 模板时，您可能会遇到神秘的字符串“ZgotmplZ”作为输出。这个特殊的值具有需要注意的特定含义。

为什么 ZgotmplZ 出现

当潜在不安全内容在运行时进入 CSS 或 URL 上下文时，“ZgotmplZ”就会出现。当 HTML 直接嵌入到 CSS 或 URL 属性中时会发生这种情况，这可能会引入安全漏洞。为了防范这些风险，模板引擎插入“ZgotmplZ”作为占位符，以防止执行不安全的内容。

示例示例

考虑以下模板代码：

func printSelected(s string) string {
    if s == "test" {
        return `selected="selected"`
    }
    return ""
}

func main() {
    funcMap := template.FuncMap{
        "printSelected": printSelected,
        "safe": func(s string) template.HTML {
            return template.HTML(s)
        },
    }
    template.Must(template.New("Template").Funcs(funcMap).Parse(`
        <option {{ printSelected "test" }} {{ printSelected "test" | safe }} >test</option>
    `)).Execute(os.Stdout, nil)

}

执行时，此模板会生成输出：

<option ZgotmplZ ZgotmplZ >test</option>

保护模板输出

为了确保模板输出的安全，您可以使用“funcMap”来实现“attr”和“safe” " 函数：

func attr(s string) template.HTMLAttr {
    return template.HTMLAttr(s)
}

func main() {
    funcMap := template.FuncMap{
        "attr": attr,
        "safe": func(s string) template.HTML {
            return template.HTML(s)
        },
    }

    template.Must(template.New("Template").Funcs(funcMap).Parse(`
        <option {{.attr | attr}}>test</option>
        {{.html | safe}}
    `)).Execute(os.Stdout, map[string]string{
        "attr": `selected="selected"`,
        "html": `<option selected="selected">option</option>`,
    })
}

此修改后的代码结果如下输出：

<option selected="selected">test</option>
<option selected="selected">option</option>

结论

通过理解“ZgotmplZ”的意义并实现“attr”和“safe”函数，你可以确保你的Go HTML 模板可生成安全可靠的输出，最大限度地降低漏洞风险并保持应用程序的完整性。

以上是为什么我的 Go HTML 模板输出'ZgotmplZ”？的详细内容。更多信息请关注PHP中文网其他相关文章！