EJS 是一个高效的 Javascript 的模板引擎
官网: https://ejs.co/
中文站: https://ejs.bootcss.com/
在 EJS(Embedded JavaScript)模板引擎中,确实有两种主要的标签用于嵌入 JavaScript 代码:<% ... %> 和 <%= ... %>。它们的用途和行为有所不同,具体如下:
-
<% '脚本' 标签,用于流程控制,无输出。使用
<% ... %>标签时,你可以嵌入任意的 JavaScript 代码,但这些代码不会直接输出到最终的 HTML 中。这个标签主要用于流程控制(如条件语句和循环)以及定义变量等。示例:
<% if (user.loggedIn) { %> <p>Welcome, <%= user.name %>!</p> <% } else { %> <p>Please log in.</p> <% } %>在这个例子中,
<% ... %>标签内的代码用于控制是否显示欢迎信息或登录提示,但这些标签本身不会在最终的 HTML 中产生任何输出。 -
<%= 输出数据到模板(输出是转义 HTML 标签)使用
<%= ... %>标签时,你可以将 JavaScript 表达式的值输出到最终的 HTML 中。这个标签会对输出的内容进行 HTML 转义,以防止 XSS(跨站脚本攻击)等安全问题。示例:
<p>User: <%= user.name %></p>如果
user.name的值是"John Doe <script>alert('hi')</script>",那么使用<%= ... %>标签输出时,HTML 转义会将其转换为John Doe <script>alert('hi')</script>,从而避免执行其中的 JavaScript 代码。
注意:如果你需要输出未经转义的 HTML(例如,当你确信输出的内容是安全的),你可以使用 <%- ... %> 标签。
示例:
<%- user.safeHtmlContent %>在这个例子中,user.safeHtmlContent 的内容将直接输出到最终的 HTML 中,而不会进行 HTML 转义。这通常用于动态生成 HTML 内容的情况,但使用时需要格外小心,以避免安全风险。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
