掌握Go语言JSON处理：HTML转义控制详解（encoding/json包实战指南）

什么是HTML转义？

HTML转义是指将某些具有特殊含义的字符（如 <、>、&、"、'）转换为对应的HTML实体，以防止XSS（跨站脚本攻击）等安全问题。例如：

• < 转义为 <
• > 转义为 >
• & 转义为 &

为什么encoding/json默认会HTML转义？

出于安全考虑，encoding/json 包在序列化字符串时，默认会对 <、>、&、U+2028 和 U+2029 这些字符进行转义。这是为了防止将JSON直接嵌入HTML页面时产生安全漏洞。

如何关闭HTML转义？

如果你确定你的JSON不会被直接嵌入HTML，或者你已经在其他层面做了安全处理，那么可以关闭HTML转义。方法是使用 json.Encoder 并调用其 SetEscapeHTML(false) 方法。

示例1：默认行为（开启HTML转义）

package mainimport (    "encoding/json"    "fmt")type Message struct {    Content string `json:"content"`}func main() {    msg := Message{Content: "Hello World & Friends!"}    data, _ := json.Marshal(msg)    fmt.Println(string(data))}

输出结果：

{"content":"Hello \u003cb\u003eWorld\u003c/b\u003e \u0026 Friends!"}

示例2：关闭HTML转义

package mainimport (    "encoding/json"    "os")type Message struct {    Content string `json:"content"`}func main() {    msg := Message{Content: "Hello World & Friends!"}    encoder := json.NewEncoder(os.Stdout)    encoder.SetEscapeHTML(false) // 关键：关闭HTML转义    encoder.Encode(msg)}

输出结果：

{"content":"Hello World & Friends!"}

注意事项

• 仅在确保安全的前提下关闭HTML转义。
• 如果JSON数据会被直接插入HTML页面（例如通过 <script> 标签），请保留默认的HTML转义行为。
• 对于API接口返回的JSON，通常可以安全地关闭HTML转义，因为现代前端框架（如React、Vue）会自行处理XSS防护。

总结

通过本文，你已经了解了 Go语言 中 encoding/json 包对 HTML转义 的默认行为及其控制方法。合理使用 SetEscapeHTML(false) 可以让你的JSON输出更干净，但务必注意安全风险。掌握这些技巧，能让你在开发中更加得心应手！

关键词回顾：Go语言、JSON、HTML转义、encoding/json包。