特殊字符的轉義(escaping)對於網頁安全和用戶體驗至關重要,由於在 HTML 的不同位置,需要對不同的字符進行不同的轉移,各種框架/腳本語言提供了若干個不同的函數,但是,這裏要介紹的是 Go 的自帶 Web 框架,它能夠識別 HTML,自動的選擇轉義含糊進行正確的轉義。
Go 語言是 Google 發起的開源項目,現在已經有大量的外部人員參與到開發當中,其中不乏中國的程序員。由於是一門新興的語言,因此設計不少之前編程語言的經驗與教訓。爲了適應當前開發的需要,Go自帶了 Web 框架:template。
template 的一個最大的特點就是會解析模板中的 html 語法,從而知道所要替換的變量在網頁中的位置,從而正確的進行轉義,下面先看一段例子程序(邊邊角角省掉了,template 需使用 "html/template"):
t, _ := template.New("foo").Parse(
`{{.}}` + "\n" +
``)
t.ExecuteTemplate(os.Stdout, "foo", "#Hello? I'm David=")
一共就兩條語句:
- 編譯一個模板,模板中包含了 HTML 框架,其中含有一些變量。這裏就是四個 {{.}}
- 執行模板,給出變量的值,這裏四個變量的值都是 "#Hello? I'm David=",這個古怪的字符串包含和很多需要轉義的字符。轉換完的結果直接輸出到標準輸出了。
下面是輸出結果:
<a title="#Hello? I'm David=" href="http://example.com/#Hello?%20I%27m%20David=/hello?q=%23Hello%3f%20I%27m%20David%3d">#Hello?
I'm David=</a>
<script>var s = '#Hello? I\x27m David='</script>
<script>var s = '#Hello? I\x27m David='</script>
我把四個變量轉換的結果用紅色粗體字標了出來。可以發現,雖然調用的時候給的是同一個值,轉換之後卻是不同的,下面列成一個表格方便比較:
| 位置 | 取值 |
|---|---|
| HTML正文 | #Hello? I'm David= |
| 屬性取值 | #Hello? I'm David= |
| URL Path | #Hello?%20I%27m%20David= |
| URL Query 取值 | %23Hello%3f%20I%27m%20David%3d |
| Javascript 字符串 | #Hello? I\x27m David= |
具體的轉換規則是按照 HTML/Javascript 的標準進行的,這裏不細說了。
這樣的方式,最大限度防止了書寫模板的時候忘記進行轉換或者選錯轉換函數,因爲可以不用顯示的轉換了。
作者未必熟悉所有的 web 框架,歡迎留言參加討論。