特殊字符的轉(zhuǎn)義（escaping）對于網(wǎng)頁安全和用戶體驗至關(guān)重要，由于在 HTML 的不同位置，需要對不同的字符進行不同的轉(zhuǎn)義，各種框架/腳本語言提供了若干個不同的函數(shù)，但是，這里要介紹的是 Go 的自帶 Web 框架，它能夠識別 HTML，自動的選擇轉(zhuǎn)義含糊進行正確的轉(zhuǎn)義。

Go 語言是 Google 發(fā)起的開源項目，現(xiàn)在已經(jīng)有大量的外部人員參與到開發(fā)當中，其中不乏中國的程序員。由于是一門新興的語言，因此設計不少之前編程語言的經(jīng)驗與教訓。為了適應當前開發(fā)的需要，Go 自帶了 Web 框架：template。

template 的一個***的特點就是會解析模板中的 HTML 語法，從而知道所要替換的變量在網(wǎng)頁中的位置，從而正確的進行轉(zhuǎn)義，下面看一段例子程序（邊邊角角省掉了，template 需使用 “html/template”）：

t, _ := template.New("foo").Parse(  

  `<a title="{{.}}" href="http://example.com/{{.}}/hello?q={{.}}">{{.}}</a>` +

  `<script>var s = '#Hello? I\x27m David='</script>`)  

t.ExecuteTemplate(os.Stdout, "foo", "#Hello? I'm David=")

​一共就兩條語句：

1. 編譯一個模板，模板中包含了 HTML 框架，其中含有一些變量。這里就是四個 {{.}}
2. 執(zhí)行模板，給出變量的值，這里四個變量的值都是 ”#Hello? I’m David=”，這個古怪的字符串包含和很多需要轉(zhuǎn)義的字符。轉(zhuǎn)換完的結(jié)果直接輸出到標準輸出了。

下面是輸出結(jié)果：

<a title="#Hello? I&#39;m David=" href="http://example.com/#Hello?%20I%27m%20David=/hello?q=%23Hello%3f%20I%27m%20David%3d">#Hello? I&#39;m David=</a><script>var s = '#Hello? I\x27m David='</script> 

我把四個變量轉(zhuǎn)換的結(jié)果用紅色粗體字標了出來?？梢园l(fā)現(xiàn)，雖然調(diào)用的時候給的是同一個值，轉(zhuǎn)換之后卻是不同的，下面列成一個表格方便比較：

位置取值

HTML正文 #Hello? I&#39;m David=

屬性取值 #Hello? I&#39;m David=

URL Path #Hello?%20I%27m%20David=

URL Query 取值 %23Hello%3f%20I%27m%20David%3d

Javascript 字符串 #Hello? I\x27m David=

具體的轉(zhuǎn)換規(guī)則是按照 HTML/Javascript 的標準進行的，這里不細說了。

這樣的方式，***限度防止了書寫模板的時候忘記進行轉(zhuǎn)換或者選錯轉(zhuǎn)換函數(shù)，因為可以不用顯示的轉(zhuǎn)換了。

作者未必熟悉所有的 web 框架，歡迎留言參加討論。

原文鏈接：http://techblog.youdao.com/