[英]What is the best way to ensure HTML entities are escaped in StringTemplate
假設下面的字符串模板,將被提供Java Bean對象的列表:
<ul>$people:{p|<li>$p.name$ $p.email</li>}$</ul>
即人員列表可能包含您可能無法增強/擴展的Person
對象:
class Person {
....
public getName() { ... }
public getEmail() { ... }
}
getName()
和getEmail()
方法不會返回經過清理的(轉義的html實體)。 您如何解決這個問題?
您可以使用自定義渲染器,例如:
public static class HtmlEscapeStringRenderer implements AttributeRenderer {
public String toString(Object o, String s, Locale locale) {
return (String) (s == null ? o : StringEscapeUtils.escapeHtml((String) o));
}
}
然后在模板中指示您希望其轉義:
$p.name;format="html"$
也就是說,您可能更喜歡清理輸入的數據,在發送到模板之前進行轉換,將經過裝飾的人發送到模板等。
public class App {
public static void main(String[] args) {
STGroupDir group = new STGroupDir("src/main/resource", '$', '$');
group.registerRenderer(String.class, new HtmlEscapeStringRenderer());
ST st = group.getInstanceOf("people");
st.add("people", Arrays.asList(
new Person("<b>Dave</b>", "dave@ohai.com"),
new Person("<b>Nick</b>", "nick@kthxbai.com")
));
System.out.println(st.render());
}
public static class HtmlEscapeStringRenderer implements AttributeRenderer {
public String toString(Object o, String s, Locale locale) {
return (String) (s == null ? o : StringEscapeUtils.escapeHtml((String) o));
}
}
}
輸出:
<ul><li><b>Dave</b> dave@ohai.com</li><li><b>Nick</b> nick@kthxbai.com</li></ul>
無需為此編寫自己的渲染器。 您可以使用內置渲染器org.stringtemplate.v4.StringRenderer
group.registerRenderer(String.class, new StringRenderer());
並添加您的模板:
<ul>$people:{p|<li>$p.name;format="xml-encode"$ $p.email;format="xml-encode"$</li>}$</ul>
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.