safe.JSStr

介紹

Hugo 使用 Go 的 text/templatehtml/template 套件。

text/template 套件實現了資料驅動的範本,用於生成文字輸出;而 html/template 套件則實現了資料驅動的範本,用於生成安全防範程式碼注入的 HTML 輸出。

預設情況下,Hugo 在渲染 HTML 檔案時會使用 html/template 套件。

為了生成避免程式碼注入的安全 HTML 輸出,html/template 套件會在特定情境下對字串進行轉譯。

使用方式

使用 safe.JSStr 函式來封裝一組字符,目的是在 JavaScript 表達式中嵌入雙引號。

此類型會存在安全風險:封裝的內容應來自可信來源,因為它將在範本輸出中原文包含。

詳情請參閱 Go 文件

範例

未宣告為安全的情況下:

{{ $title := "Lilo & Stitch" }}
<script>
  const a = "Title: " + {{ $title }};
</script>

Hugo 渲染後為:

<script>
  const a = "Title: " + "Lilo \u0026 Stitch";
</script>

要將字串宣告為安全:

{{ $title := "Lilo & Stitch" }}
<script>
  const a = "Title: " + {{ $title | safeJSStr }};
</script>

Hugo 渲染後為:

<script>
  const a = "Title: " + "Lilo & Stitch";
</script>
safe.URL safe.JS