本文介绍如何使用 java servlet 读取 `.tpl` html 模板文件,解析占位符(如 `{pet.name}`),注入真实数据后返回渲染后的 html 页面,实现轻量级服务端模板填充。
在 Java Web 开发中,Servlet 本身不内置模板引擎,但完全可以手动实现简单的占位符替换逻辑来处理 HTML 模板。以下是一个完整、可运行的教程式实现,涵盖路径解析、模板读取、数据绑定与响应输出。
✅ 核心思路
- URL 路由识别:通过 request.getPathInfo() 获取请求路径(如 /index.tpl),结合预设目录定位模板文件;
- 安全读取模板:使用 Files.readAllBytes() 读取 UTF-8 编码的 .tpl 文件内容;
- 占位符替换:用 String.replace() 或正则表达式(推荐 Pattern.compile("\\{([^}]+)\\}").matcher(...))安全替换 {pet.name}、{pet.age} 等字段;
- 数据准备:根据 id 参数查询业务对象(如 Pet),确保非空校验;
- 响应设置:显式设置 Content-Type: text/html; charset=UTF-8,避免中文乱码。
? 示例代码(完整 doGet 实现)
@WebServlet("/template/*")
public class TemplateServlet extends HttpServlet {
private static final String BASE_PATH = "/WEB-INF/templates"; // 模板存放于 WEB-INF 下更安全
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// 1. 解析请求路径,如 /template/index.tpl → getPathInfo() 返回 "/index.tpl"
String pathInfo = request.getPathInfo();
if (pathInfo == null || !pathInfo.endsWith(".tpl")) {
response.sendError(HttpServletResponse.SC_NOT_FOUND, "Template not found");
return;
}
// 2. 构建安全文件路径(防止路径遍历)
String fileName = pathInfo.substring(1); // 去掉开头 '/'
String filePath = getServletContext().getRealPath(BASE_PATH + "/" + fileName);
File templateFile = new File(filePath);
// 安全校验:确保文件在允许目录内且为普通文件
if (!templateFile.exists() || !templateFile.isFile() ||
!filePath.startsWith(getServletContext().getRealPath(BASE_PATH))) {
response.sendError(HttpServletResponse.SC_NOT_FOUND);
return;
}
// 3. 读取模板内容(UTF-8)
String template = Files.readString(templateFile.toPath(), StandardCharsets.UTF_8);
// 4. 获取参数并加载数据
String idParam = request.getParameter("id");
if (idParam == null || idParam.trim().isEmpty()) {
response.sendError(HttpServletResponse.SC_BAD_REQUEST, "Missing 'id' parameter");
return;
}
Pet pet = loadPetById(idParam); // 你自己的数据访问逻辑,需自行实现
if (pet == null) {
response.sendError(HttpServletResponse.SC_NOT_FOUND, "Pet not found");
return;
}
// 5. 占位符替换(简单版,生产环境建议用 Map + 正则遍历)
String result = template
.replace("{pet.name}", escapeHtml(pet.getName()))
.replace("{pet.age}", String.valueOf(pet.getAge()));
// 6. 输出响应
response.setContentType("text/html; charset=UTF-8");
response.setStatus(HttpServletResponse.SC_OK);
response.getWriter().write(result);
response.getWriter().flush();
}
// 简单 HTML 转义,防止 XSS(关键!)
private String escapeHtml(String input) {
if (input == null) return "";
return input.replace("&", "&")
.replace("<", "zuojiankuohaophpcn")
.replace(">", "youjiankuohaophpcn")
.replace("\"", """)
.replace("'", "'");
}
// 示例数据加载方法(请按实际 DAO 替换)
private Pet loadPetById(String id) {
// 示例:模拟数据库查询
return "1".equals(id) ? new Pet("Buddy", 3) : null;
}
}⚠️ 重要注意事项
- 安全性第一:永远不要直接拼接用户输入的路径(如 request.getPathInfo())构造 File 对象,必须做白名单校验或限定根目录(如本例中 getRealPath(BASE_PATH) 的双重约束);
- XSS 防护:所有动态插入模板的变量必须 HTML 转义(如 escapeHtml()),否则将导致严重跨站脚本漏洞;
- 编码统一:模板文件务必保存为 UTF-8,且 Files.readString(..., UTF_8) 与 response.setContentType("...charset=UTF-8") 必须一致;
-
性能优化:频繁访问的模板建议启动时缓存到内存(如 ConcurrentHashMap
),避免每次读磁盘; - 扩展建议:如需更强大功能(循环、条件、嵌套),应引入成熟模板引擎(如 Thymeleaf、Freemarker),而非手动维护复杂替换逻辑。
通过以上方式,你就能在不依赖第三方模板库的前提下,快速搭建一个安全、可控的 Servlet 模板处理器——既适合学习原理,也适用于极简场景的原型开发。
