html/template 与 text/template 的核心区别在于安全机制和使用场景。1. html/template 自动进行上下文敏感的转义,防止 xss 攻击,而 text/template 不做任何转义;2. html/template 具备上下文感知能力,能根据 html 不同位置自动采用合适的转义方式,如 html 内容、属性、js 字符串等;3. 推荐 html/template 用于网页内容渲染和用户数据插入,text/template 适用于非 html 内容生成或已确认安全的数据处理;4. 注意避免误用 template.html 导致安全漏洞,不混用两个包的变量和函数模板,确保正确理解自动转义的作用范围和时机。
Golang 中的 text/template 和 html/template 看起来很像,很多初学者会以为它们只是格式输出不同。其实不然,它们在安全上下文和使用场景上的差异非常关键,特别是在处理用户输入、防止 XSS 攻击时。
简单来说:text/template 是通用文本模板引擎,而 html/template 是专为 HTML 安全设计的模板引擎。
1. 输出类型与自动转义机制不同
这是两者最核心的区别之一:
立即学习“go语言免费学习笔记(深入)”;
-
text/template不做任何自动转义
它只是把变量原样插入到文本中,适用于生成纯文本、配置文件、脚本等非 HTML 内容。
html/template自动进行 HTML 转义
它会对变量内容进行上下文敏感的转义处理,比如变成zuojiankuohaophpcn,"变成",防止 XSS 漏洞。
举个例子:
data := ""
用 text/template 渲染:
{{ . }}输出就是原始字符串,直接嵌入到 HTML 中就会执行 JS。
用 html/template 渲染:
{{ . }}输出会被转义成:
zuojiankuohaophpcnscriptyoujiankuohaophpcnalert(1)zuojiankuohaophpcn/scriptyoujiankuohaophpcn
这样浏览器就不会执行脚本了。
所以如果你在渲染网页内容,一定要用 html/template,否则很容易引入安全漏洞。
2. 上下文感知(Context-aware)能力
html/template 的强大之处在于它能根据当前 HTML 上下文(如标签内、属性值、JS 字符串等)来决定如何转义内容。
比如下面这些情况,它都能正确判断并转义:
这种“智能”行为是 text/template 完全不具备的。
你也可以通过函数手动控制上下文,比如使用 template.HTML 类型告诉模板这段内容是安全的 HTML,不需要转义。但这个操作要谨慎,确保内容可信后再使用。
3. 使用场景建议
✅ 推荐使用 html/template 的情况:
- 渲染网页内容(HTML 页面)
- 插入用户提供的数据(评论、文章等)
- 需要防范 XSS 的 Web 应用
✅ 推荐使用 text/template 的情况:
- 生成非 HTML 内容(如邮件正文、JSON、YAML 配置)
- 已经确保内容安全,不需要自动转义
- 对性能有更高要求的场景(因为
html/template多了上下文分析)
4. 常见误区与注意事项
误用
template.HTML导致安全问题
如果你不加判断地将用户输入标记为template.HTML,就等于绕过了所有保护机制。这种情况一定要配合白名单过滤或富文本安全处理库。混合使用两个包可能导致混乱
虽然可以同时导入两个包,但要注意不要把html/template的变量传给text/template使用,容易出现意料之外的输出。函数模板共享问题
两个包虽然都有FuncMap功能,但不能混用。html/template会对函数返回的内容也进行安全检查,而text/template则不会。
基本上就这些区别了。简单总结一下:
- 如果你在写 Web 页面,优先用
html/template,因为它自带安全机制; - 如果只是生成普通文本,用
text/template更轻量; - 关键是理解上下文安全机制,别轻易跳过转义步骤。
不复杂但容易忽略的地方,就在是否真正理解了“自动转义”的作用范围和时机。
