html/template 默认自动转义防 XSS,text/template 不转义;嵌套模板需一次解析全部文件并用 ExecuteTemplate 指定入口;字段必须导出(大写开头),nil 指针需用 {{with}} 避免 panic;静态资源路径应通过变量或自定义函数注入而非硬编码。
html/template 和 text/template 有什么区别?直接用 html/template,别碰 text/template 做网页渲染——它不自动转义 HTML,容易导致 XSS。而 html/template 在插值时默认调用 html.EscapeString,比如 {{.UserInput}} 遇到 会变成纯文本显示。
只有当你明确需要输出原始 HTML(例如后台已审核过的富文本),才用 {{.SafeHTML | safeHTML}} 配合自定义函数,且必须加 template.FuncMap 注册 safeHTML 并返回 template.HTML 类型。
常见错误是多次调用 template.ParseFiles 覆盖已有定义,或在子模板里用错 {{define}} / {{template}} 配对。正确流程是:一次解析全部文件,用 template.New 创建根模板,再用 ParseFiles 或 ParseGlob 加载所有 .tmpl 文件,最后通过 ExecuteTemplate 指定入口模板名。
ParseFiles 找不到{{define "header"}} 定义的块,必须在另一个模板里用 {{template "header" .}} 调用,且传参保持上下文一致template.Must 包裹解析过程,出错会 panic,适合启动时加载;运行时动态更新模板建议手动检查 errorfunc loadTemplates() *template.Template {
t := template.New("").Funcs(template.FuncMap{
"formatDate": func(t time.Time) string {
return t.Format("2006-01-02")
},
})
return template.Must(t.ParseGlob("templates/*.tmpl"))
}
{{.Title}} 渲染为空或报 nil pointer?根本原因通常是传入 Execute 的数据结构字段未导出(首字母小写),或指针为 nil 但字段非指针类型。Go 模板只访问导出字段(即大写开头),且对 nil 接口或结构体指针做字段访问会 panic。
Title string,而非 title string
*MyStruct,但该指针为 nil,则整个 .Title 访问失败;可改用 {{with .Data}}{{.Title}}{{end}} 避免 panicmap[string]interface{},且 key 必须是 string;用 map[string]string 无法访问嵌套字段{{range .Items}},内部作用域切换为当前元素,需用 {{$root := .}}{{range .Items}}{{$.Title}}{{end}} 回溯父级字段不要在模板里写死 /static/css/app.css,尤其部署在子路径(如 /myapp/)时会 404。应该把基础路径作为变量注入模板,或用自定义函数生成完整 URL。
BaseURL: "/myapp",模板中写 {{.BaseURL}}/static/css/app.css
"absURL": func(path string) string { return baseURL + path },然后模板里用 {{absURL "/static/js/main.js"}}
r.URL.Path 是解码后的路径,不要直接拼进模板;路由匹配应由 mu
模板引擎本身不处理 HTTP 缓存头、Gzip 或 CDN,这些得在 handler 层统一加 w.Header().Set("Cache-Control", "public, max-age=3600")。