特殊字符的轉(zhuǎn)義（escaping）對(duì)于網(wǎng)頁(yè)安全和用戶體驗(yàn)至關(guān)重要，由于在 HTML 的不同位置，需要對(duì)不同的字符進(jìn)行不同的轉(zhuǎn)義，各種框架/腳本語(yǔ)言提供了若干個(gè)不同的函數(shù)，但是，這里要介紹的是 Go 的自帶 Web 框架，它能夠識(shí)別 HTML，自動(dòng)的選擇轉(zhuǎn)義含糊進(jìn)行正確的轉(zhuǎn)義。

Go 語(yǔ)言是 Google 發(fā)起的開源項(xiàng)目，現(xiàn)在已經(jīng)有大量的外部人員參與到開發(fā)當(dāng)中，其中不乏中國(guó)的程序員。由于是一門新興的語(yǔ)言，因此設(shè)計(jì)不少之前編程語(yǔ)言的經(jīng)驗(yàn)與教訓(xùn)。為了適應(yīng)當(dāng)前開發(fā)的需要，Go 自帶了 Web 框架：template。

template 的一個(gè)***的特點(diǎn)就是會(huì)解析模板中的 HTML 語(yǔ)法，從而知道所要替換的變量在網(wǎng)頁(yè)中的位置，從而正確的進(jìn)行轉(zhuǎn)義，下面看一段例子程序（邊邊角角省掉了，template 需使用 “html/template”）：

t, _ := template.New("foo").Parse(  

  `<a title="{{.}}" href="http://example.com/{{.}}/hello?q={{.}}">{{.}}</a>` +

  `<script>var s = '#Hello? I\x27m David='</script>`)  

t.ExecuteTemplate(os.Stdout, "foo", "#Hello? I'm David=")

​一共就兩條語(yǔ)句：

1. 編譯一個(gè)模板，模板中包含了 HTML 框架，其中含有一些變量。這里就是四個(gè) {{.}}
2. 執(zhí)行模板，給出變量的值，這里四個(gè)變量的值都是 ”#Hello? I’m David=”，這個(gè)古怪的字符串包含和很多需要轉(zhuǎn)義的字符。轉(zhuǎn)換完的結(jié)果直接輸出到標(biāo)準(zhǔn)輸出了。

下面是輸出結(jié)果：

<a title="#Hello? I&#39;m David=" href="http://example.com/#Hello?%20I%27m%20David=/hello?q=%23Hello%3f%20I%27m%20David%3d">#Hello? I&#39;m David=</a><script>var s = '#Hello? I\x27m David='</script> 

我把四個(gè)變量轉(zhuǎn)換的結(jié)果用紅色粗體字標(biāo)了出來(lái)?？梢园l(fā)現(xiàn)，雖然調(diào)用的時(shí)候給的是同一個(gè)值，轉(zhuǎn)換之后卻是不同的，下面列成一個(gè)表格方便比較：

位置取值

HTML正文 #Hello? I&#39;m David=

屬性取值 #Hello? I&#39;m David=

URL Path #Hello?%20I%27m%20David=

URL Query 取值 %23Hello%3f%20I%27m%20David%3d

Javascript 字符串 #Hello? I\x27m David=

具體的轉(zhuǎn)換規(guī)則是按照 HTML/Javascript 的標(biāo)準(zhǔn)進(jìn)行的，這里不細(xì)說(shuō)了。

這樣的方式，***限度防止了書寫模板的時(shí)候忘記進(jìn)行轉(zhuǎn)換或者選錯(cuò)轉(zhuǎn)換函數(shù)，因?yàn)榭梢圆挥蔑@示的轉(zhuǎn)換了。

作者未必熟悉所有的 web 框架，歡迎留言參加討論。

原文鏈接：http://techblog.youdao.com/