Go的html/template中结构体字段必须首字母大写才能访问,如{{.Name}};嵌套字段需逐级导出;安全渲染用{{.Content|safeHTML}}或template.HTML;模板继承靠{{define}}+{{template}},需先解析base再子模板;Execute前须设Content-Type头,避免response已提交。
HTML模板里怎么传入结构体字段
Go 的 html/template 默认禁止直接访问未导出字段(即小写开头的字段),传入结构体后如果字段为空或报错,大概率是字段没导出。
- 结构体字段名必须首字母大写,例如
type User struct { Name string },不能写成name string - 模板中用
{{.Name}}访问,{{.}}表示当前作用域对象本身 - 嵌套结构体字段也需逐级导出:比如
User.Profile.AvatarURL,则Profile和AvatarURL都得大写开头 - 若需自定义字段名映射,可用 struct tag:
json:"avatar_url" template:"avatar"不生效,html/template不识别这类 tag,只能靠字段名本身
如何安全渲染用户输入的内容
html/template 默认会对 {{.Content}} 做 HTML 转义,防止 XSS。但有时你明确知道内容可信(比如后台生成的 Markdown 渲染结果),需要原样输出——这时不能用 {{.Content}},而要用 {{.Content|safeHTML}}。
- 只有实现了
template.HTML类型的值才被视作“已消毒”,例如:data := map[string]interface{}{"Raw": template.HTML("Hello")} - 千万别用
strings.Replace或正则“手动去转义”,那会破坏模板的安全机制 - 如果内容来自用户提交,又想保留部分 HTML(如 、
),应先用专用库(如
microcosm-cc/bluemonday)白名单过滤,再转成template.HTML - 错误示范:
{{.UserInput | html}}——html是默认 filter,加了反而多转义一次
模板继承与区块复用怎么写才不混乱
Go 模板没有原生 layout 概念,靠 {{define}} + {{template}} 模拟继承,但容易因执行顺序或作用域出错。
- 主模板(如
base.html)里用{{define "content"}}{{end}}占位,子模板用{{define "content"}}...{{end}}覆盖 - 加载时必须先解析 base,再解析子模板,否则
{{template "content"}}找不到定义;推荐用template.ParseGlob("templates/*.html")一次性加载全部 - 传参时注意作用域:子模板中
{{.}}是传入的 data,不是 base 模板的 data;若需在 base 中访问数据,把 data 显式传给{{template "header" .}} - 避免在
{{define}}内部重复定义同名区块,Go 模板会静默覆盖,不易调试
为什么 template.Execute 写到 http.ResponseWriter 会 panic
常见错误是忘记设置响应头或提前写了 body,导致 http.ResponseWriter 已被提交(committed),再调用 Execute 就 panic:http: multiple response.WriteHeader calls 或 write on closed body。
立即学习“go语言免费学习笔记(深入)”;
- 务必在
Execute前调用w.Header().Set("Content-Type", "text/html; charset=utf-8") - 不要在模板里或 handler 中提前调用
w.Write或fmt.Fprint(w, ...),否则响应流已开启 - 调试时可在
Execute前加判断:if !w.Header().Get("Content-Type") { w.Header().Set("Content-Type", "text/html; charset=utf-8") } - 更稳妥的做法是封装一个
renderTemplate(w http.ResponseWriter, name string, data interface{})函数,统一处理 header 和 error
fmt.Printf 看执行路径。 
