” />

在go的html/template中，直接将文本中的换行符（n）替换为<br>会导致<br>自身被转义，无法实现预期的换行效果。本文将详细介绍一种安全且推荐的方法，通过先对原始文本进行HTML转义以防止XSS攻击，然后将转义后的文本中的n替换为<br>，最后使用template.HTML类型标记为已信任的HTML内容，从而在保持XSS防护的同时，确保<br>标签能够正确渲染为换行。

理解 html/template 的自动转义机制

go语言的html/template包设计初衷是为了防止跨站脚本攻击（xss）。它默认会对所有传入的数据进行html转义，将<转换为，”转换为”等。这种机制虽然大大提高了安全性，但也意味着如果我们直接将字符串中的n替换为<br>，html/template会将其视为普通字符串内容，并将其中的<和>进行转义，最终在浏览器中显示为
而非实际的换行。

解决方案：预转义与 template.HTML

为了在保持XSS防护的同时实现换行效果，我们需要采取一个多步骤的策略：

1. 手动HTML转义： 首先对原始文本进行全面的HTML转义，确保其中不包含任何恶意或未转义的HTML标签。
2. 替换换行符： 在转义后的文本中，将所有的n替换为<br>。由于此时文本已经过转义，<script>等内容已无害，我们可以安全地插入<br>。</script>
3. 标记为安全HTML： 使用template.HTML类型包装最终的字符串。template.HTML是一个特殊的类型，它告诉html/template引擎，此字符串已经被认为是安全的HTML片段，无需再进行额外的转义。

以下是一个具体的Go语言示例，演示了如何实现这一过程：

package main  import (     "html/template"     "os"     "strings" )  // 定义一个简单的HTML模板 const pageTemplate = ` <html>   <head>     <title>换行符示例</title>   </head>   <body>     <h1>内容展示</h1>     <p>{{.}}</p>   </body> </html>`  // 包含换行符和潜在危险内容的原始文本 const originalText = `第一行内容 <script>alert('XSS攻击');</script> 第三行内容 这是最后一行。`  func main() {     // 1. 解析HTML模板     t := template.Must(template.New("page").Parse(pageTemplate))      // 2. 对原始文本进行HTML转义，以防止XSS攻击     // template.HTMLEscapeString 会将所有HTML特殊字符转义     // 例如：<script> 会变成 <script>     escapedText := template.HTMLEscapeString(originalText)      // 3. 在转义后的文本中，将换行符替换为 <br> 标签     // 此时，由于原始HTML标签已被转义，插入的<br>是安全的     finalHTMLString := strings.Replace(escapedText, "n", "<br>", -1)      // 4. 使用 template.HTML 类型包装最终的字符串     // 告诉模板引擎这个字符串已经是安全的HTML，无需再次转义     safeHTML := template.HTML(finalHTMLString)      // 5. 执行模板，将结果输出到标准输出     err := t.Execute(os.Stdout, safeHTML)     if err != nil {         panic(err)     } }

运行结果与分析

运行上述代码，你将得到如下的HTML输出：

<html>   <head>     <title>换行符示例</title>   </head>   <body>     <h1>内容展示</h1>     <p>第一行内容<br><script>alert('XSS攻击');</script><br>第三行内容<br>这是最后一行。</p>   </body> </html>

当这段HTML在浏览器中渲染时，效果如下：

立即学习“前端免费学习笔记（深入）”；

Magic Eraser

AI移除图片中不想要的物体

21

查看详情

第一行内容 <script>alert('XSS攻击');</script> 第三行内容 这是最后一行。

从输出和浏览器渲染效果可以看出：

• 原始文本中的换行符（n）已被成功替换为<br>，并在浏览器中实现了换行。
• 原始文本中包含的潜在危险脚本<script>alert(‘XSS攻击’);</script>被template.HTMLEscapeString函数安全地转义为<script>alert(&#39;XSS攻击&#39;);</script>，在浏览器中作为普通文本显示，而不是被执行，从而有效防止了XSS攻击。
• template.HTML类型确保了我们手动插入的<br>标签不会被再次转义。

注意事项与最佳实践

• 安全性优先： 始终记住，html/template的核心目标是安全。只有在您完全信任要插入的HTML内容时，才使用template.HTML。如果内容来自用户输入或不可信源，务必先进行严格的消毒和转义。
• 适用场景： 这种方法适用于您需要将纯文本内容（可能包含换行符）展示为HTML段落，并希望换行符表现为HTML的<br>标签的场景。
• 与 text/template 的区别： text/template包不会进行任何HTML转义，因此可以直接替换n为<br>。但这意味着您需要自行承担XSS防护的责任，这通常不推荐用于Web应用中渲染用户提供的内容。
• 代码可读性： 将转义和替换逻辑封装成一个辅助函数，可以提高代码的可读性和复用性。

总结

在Go的html/template中，为了在实现换行效果的同时保持XSS防护，正确的做法是：先使用template.HTMLEscapeString对原始文本进行全面转义，然后将转义后的文本中的n替换为<br>，最后将结果包装成template.HTML类型。这种方法兼顾了功能性和安全性，是处理此类需求的标准实践。