Go 的 html/template 渲染 HTML 核心是定义模板、传入数据、执行渲染;默认自动转义防 XSS,推荐用 struct 传参、template.Must 解析、预编译复用模板以保障安全与性能。
用 Go 的 html/template 包渲染 HTML,核心就三点:定义模板、传入数据、执行渲染。它默认自动转义,防 XSS,比 text/template 更安全,适合生成网页。
定义并解析 HTML 模板
模板可以写在字符串里,也可以从文件读取。推荐用 template.Must 包裹解析操作,出错直接 panic(开发期友好):
tmpl := template.Must(template.New("page").Parse(`Hello, {{.Name}}
Age: {{.Age}}
`))
如果从文件加载,用 template.ParseFiles("layout.html", "index.html"),支持嵌套和定义子模板(如 {{define "main"}}...{{end}})。
准备结构化数据并传入
Go 模板不接受任意 map(尤其含特殊 key),建议用 struct 传递数据,字段首字母大写(导出)才能被访问:
type User struct {
Name string
Age int
}
data := User{Name: "Alice", Age: 30}
渲染时直接传 struct 实例:tmpl.Execute(w, data)。也可传指针或 map[string]interface{},但 struct 更清晰、类型安全。
在模板中安全使用变量与控制逻辑
模板语法简洁,常用写法包括:
-
{{.Name}}:访问字段,点号开头表示当前上下文 -
{{if .Admin}}{{end}}:条件渲染 -
{{range .Items}}{{.Title}}{{end}}:遍历切片或 map -
{{template "header" .}}:调用已定义的子模板 -
{{.Content | safeHTML}}:显式声明内容可信任(绕过转义),仅用于已过滤的 HTML 片段
注意:safeHTML 是 html/template 内置函数,不是自定义的;别滥用,否则失去 XSS 防护意义。
完整 HTTP 渲染示例
结合 net/http,一个最小可用服务:
func handler(w http.ResponseWriter, r *http.Request) {
tmpl := template.Must(template.New("page").Parse(`
Welcome, {{.Name}}!
{{if .IsMember}}You're a member.
{{else}}Join now!
{{end}}
`))
data := struct {
Name string
IsMember bool
}{
Name: "Bob",
IsMember: true,
}
w.Head
er().Set("Content-Type", "text/html; charset=utf-8")
tmpl.Execute(w, data)
}
er().Set("Content-Type", "text/html; charset=utf-8")
tmpl.Execute(w, data)
}启动服务后访问,就能看到渲染好的 HTML 页面。生产环境建议预编译模板、复用 *template.Template 实例,避免重复解析。
基本上就这些。不复杂但容易忽略细节,比如字段未导出、忘记设 Content-Type、误用 text/template 导致 HTML 被转义成纯文本——盯住这几个点,模板渲染就很稳。
