От чего такая штука в шаблоне html?

Question

[M L]

Golang:

data, err := json.Marshal(Data)
log.Print(data);
//Вернет
//[{"ID":"1"}]

Код в шаблоне:

var data = JSON.parse( "{{.Data.data}}" );
//Результат
//var data = JSON.parse( "[{\x22ID\x22:\x221\x22}]" );

Answer 1

[Александр Павлюк]

Это валидная javscript-запись для строки [{"ID":"1"}]

Но можно сделать красивее: https://play.golang.org/p/brmFG2PGJD

package main

import (
	"bytes"
	"fmt"
	"html/template"
	"log"
)

func main() {

	out := bytes.NewBuffer([]byte{})
	t, err := template.New("foo").Parse(`<!DOCTYPE html>
<html>
<head>
    <title></title>
    <script type="text/javascript">
        var data = JSON.parse( {{.}} );
    </script>
</head>
<body>
</body>
</html>`)
	if err != nil {
		log.Fatal("Cannot parse the template: ", err)
	}

	err = t.Execute(out, `[{"ID":"1"}]`)
	if err != nil {
		log.Fatal("Cannot execute the template: ", err)
	}

	fmt.Println(string(out.Bytes()))
}

А можно ещё красивее: https://play.golang.org/p/Ir4wLhHMuV

package main

import (
	"bytes"
	"fmt"
	"html/template"
	"log"
)

type A []struct {
	ID string
}

func main() {

	out := bytes.NewBuffer([]byte{})
	t, err := template.New("foo").Parse(`<!DOCTYPE html>
<html>
<head>
    <title></title>
    <script type="text/javascript">
        var data = {{.}};
    </script>
</head>
<body>
</body>
</html>`)
	if err != nil {
		log.Fatal("Cannot parse the template: ", err)
	}

	data := A{
		{ID: "1"},
	}

	err = t.Execute(out, data)
	if err != nil {
		log.Fatal("Cannot execute the template: ", err)
	}

	fmt.Println(string(out.Bytes()))
}

Причина в том, что т.к. Go не может полностью распарсить грамматику js, он подстраховывается, чтобы случайно не допустить code injection.
Go видит скобки и понимает, что ему надо вставить содержимое строкового литерала js, но т.к. он не может полностью гарантировать, что мы будем внутри скобок, то подстраховывается и эскейпит управляющие символы, чтобы в случае ошибки js просто остановился, но не выполнил вставленный код.
Шаблоны нацелены только на вставку данных и должны гарантировать программисту, что эти данные не будут выполнены как код (если конечно вы сами там eval не вставите).

Comments

[M L]

Так выходит \x22 это норма, а не ошибка кодировки?

[M L]

И все-таки почему \x22, а не просто \

[M L]

?

[Александр Павлюк]

Michael Landau: это норма в строковых литералах js https://jsfiddle.net/hz0vkfec/

22 - это шестнадцатеричный код символа двойной кавычки ". \x - это вставка символа по его коду. Так сделано потому что \" не гарантирует того, что скобка окажется экранированной. Например, пользователь может сделать вот так: JSON.parse( "\{{.Data.data}}" ), тогда мы получим \\", а это уже экранирует наш бэкслеш и позволяет скобке сбежать. в случае с \x22 такого не произойдет, потому что x22 - это не символьная последовательность и она не может закрыть кавычку.

[M L]

Александр Павлюк: ну, как я понял в целях безопасности лучше не трогать? Пусть будет лучше \x22?

[Александр Павлюк]

Michael Landau: мои два варианта тоже подойдут вам, последний будет наиболее удобным.

[M L]

Александр Павлюк: мне понравился второй вариант, но у меня заместо структуру тип []map[string]string. И выдает, вот такую ошибку https://play.golang.org/p/e5zI3ZFE9n

[M L]

Александр Павлюк: я вроде бы решил, но у меня вывод без fmt, просто t.Execute это делает.
как тогда быть? https://play.golang.org/p/MpeyOlVsLb - в примере вывод с fmt.

[Александр Павлюк]

Michael Landau: чтобы вывести не на экран, подсовывайте нужный writer в метод Execute (в примере это переменная out). Если туда сунуть http.RewponseWriter, то результат запишется в тело http-ответа.