WedX - журнал о программировании и компьютерных науках

экранирование 'to' в шаблоне golang html

Как предотвратить экранирование ' в ' в шаблоне html:

package main

import (
    "html/template"
    "os"
)

const tmpl = `<html>
    <head>
        <title>{{.Title}}</title>
    </head>
</html>`

func main() {
    t := template.Must(template.New("ex").Parse(tmpl))
    v := map[string]interface{}{
        "Title": template.HTML("Hello World'"),
    }
    t.Execute(os.Stdout, v)
}

Он выводит:

<html>
    <head>
        <title>Hello World&#39;</title>
    </head>
</html>

Желаемый результат:

<html>
    <head>
        <title>Hello World'</title>
    </head>
</html>

игровая площадка

go
05.01.2015

  • Пожалуйста, предоставьте мне свою библиотеку js, которую вы используете. 05.01.2015
  • ' в порядке, просто оставьте это. 05.01.2015
  • @Innovation никакого js, только golang 05.01.2015
  • Можете ли вы предоставить некоторые jsfiddle. 05.01.2015
  • @Innovation извините, запустить golang в jsfiddle невозможно 05.01.2015
  • Можете ли вы сказать нам, почему вы хотите (') а не (') ? 05.01.2015
  • @nvcnvn &#39; хорош, но ' лучше подходит для чтения исходного кода html. Это более гуманно. 05.01.2015
  • Вывод html/template предназначен в первую очередь для веб-браузеров, а не для людей. Библиотека работает так, как задумано: ее поведение может быть не таким, как вы хотите, но она делает то, что обещает делать: генерирует HTML, защищенный от внедрения кода. Обратите внимание, в частности, что это зависит от контекста: если вы делаете инъекцию в обычном абзаце, она не выполняет такой же переход (play.golang.org/p/wwJzpbtciv), поэтому с TITLE должно быть что-то контекстно-зависимое, что библиотека понимает и не рассматривает. В частности, он использует соглашения об экранировании RCDATA. 05.01.2015
  • В частности, см.: golang.org/src/html/template/context.go# L98, где библиотека намеренно отслеживает TITLE как специальный контекст экранирования текста. Вы запрашиваете поведение --- удобочитаемость для человека --- которое не совместимо с проблемами безопасности в библиотеке. 05.01.2015
  • Чтобы дополнить комментарий @dyoo, поведение требуется спецификацией: w3.org/html/wg/drafts/html/master/ (после этого найдите title). Меня поражает, насколько сложен синтаксис HTML... 31.01.2015

Ответы:


1

@dyoo ясно объяснил, что содержимое <title> обрабатывается как RCDATA. Код, выполняющий экранирование, находится здесь. Ветвь if t == contentTypeHTML — это то, что происходит с template.HTML.

Если вам действительно нужно контролировать вывод источника, используйте text/template и выполняйте экранирование вручную.

30.01.2015
Новые материалы
Как создать диаграмму градиентной кисти с помощью D3.js
Резюме: Из этого туториала Вы узнаете, как добавить градиентную кисть к диаграмме с областями в D3.js. Мы добавим градиент к значениям SVG и применим градиент в качестве заливки к диаграмме с..
Я хотел выучить язык программирования MVC4, но не мог выучить его раньше, потому что это выглядит сложно…
Просто начните и учитесь самостоятельно Я хотел выучить язык программирования MVC4, но не мог выучить его раньше, потому что он кажется мне сложным, и я бросил его. Это в основном инструмент..
Лицензии с открытым исходным кодом: руководство для разработчиков и создателей
В динамичном мире разработки программного обеспечения открытый исходный код стал мощной парадигмой, способствующей сотрудничеству, инновациям и прогрессу, движимому сообществом. В основе..
Объяснение документов 02: BERT
BERT представил двухступенчатую структуру обучения: предварительное обучение и тонкая настройка. Во время предварительного обучения модель обучается на неразмеченных данных с помощью..
Как проанализировать работу вашего классификатора?
Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
Работа с цепями Маркова, часть 4 (Машинное обучение)
Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
Для любых предложений по сайту: [email protected]