特殊字符的轉義（escaping）對于網頁安全和用戶體驗至關重要，由于在 HTML 的不同位置，需要對不同的字符進行不同的轉義，各種框架/腳本語言提供了若干個不同的函數，但是，這里要介紹的是 Go 的自帶 Web 框架，它能夠識別 HTML，自動的選擇轉義含糊進行正確的轉義。

Go 語言是 Google 發起的開源項目，現在已經有大量的外部人員參與到開發當中，其中不乏中國的程序員。由于是一門新興的語言，因此設計不少之前編程語言的經驗與教訓。為了適應當前開發的需要，Go 自帶了 Web 框架：template。

template 的一個***的特點就是會解析模板中的 HTML 語法，從而知道所要替換的變量在網頁中的位置，從而正確的進行轉義，下面看一段例子程序（邊邊角角省掉了，template 需使用 “html/template”）：

t, _ := template.New("foo").Parse(  

  `<a title="{{.}}" href="http://example.com/{{.}}/hello?q={{.}}">{{.}}</a>` +

  `<script>var s = '#Hello? I\x27m David='</script>`)  

t.ExecuteTemplate(os.Stdout, "foo", "#Hello? I'm David=")

​一共就兩條語句：

1. 編譯一個模板，模板中包含了 HTML 框架，其中含有一些變量。這里就是四個 {{.}}
2. 執行模板，給出變量的值，這里四個變量的值都是 ”#Hello? I’m David=”，這個古怪的字符串包含和很多需要轉義的字符。轉換完的結果直接輸出到標準輸出了。

下面是輸出結果：

<a title="#Hello? I&#39;m David=" href="http://example.com/#Hello?%20I%27m%20David=/hello?q=%23Hello%3f%20I%27m%20David%3d">#Hello? I&#39;m David=</a><script>var s = '#Hello? I\x27m David='</script> 

我把四個變量轉換的結果用紅色粗體字標了出來。可以發現，雖然調用的時候給的是同一個值，轉換之后卻是不同的，下面列成一個表格方便比較：

位置取值

HTML正文 #Hello? I&#39;m David=

屬性取值 #Hello? I&#39;m David=

URL Path #Hello?%20I%27m%20David=

URL Query 取值 %23Hello%3f%20I%27m%20David%3d

Javascript 字符串 #Hello? I\x27m David=

具體的轉換規則是按照 HTML/Javascript 的標準進行的，這里不細說了。

這樣的方式，***限度防止了書寫模板的時候忘記進行轉換或者選錯轉換函數，因為可以不用顯示的轉換了。

作者未必熟悉所有的 web 框架，歡迎留言參加討論。

原文鏈接：http://techblog.youdao.com/