是。Velocity默认对$variable插值做HTML转义,导致XML标签被破坏;可用$esc.xml($content)或#[[ ]]原生语法解决,前者适合变量含特殊字符,后者适合大段XML内容。
Velocity模板中直接输出XML内容会自动转义吗
会。Velocity默认对 $variable 插值做 HTML 转义(如 → zuojiankuohaophpcn),这在生成 XML 时会导致标签被破坏,比如 
zuojiankuohaophpcnuseryoujiankuohaophpcnAlicezuojiankuohaophpcn/useryoujiankuohaophpcn,XML 解析失败。
用 $esc.xml 工具类还是 #[[ ]] 原生语法
两者都可用,但适用场景不同:
-
$esc.xml($content)是传统方式,适合变量本身含特殊字符(如含&、、"的字符串),它只对 XML 特殊字符做转义(&→&,→zuojiankuohaophpcn等) -
#[[ $xmlString ]]是 Velocity 2.0+ 引入的“原始块语法”,完全跳过所有转义,适合已确认安全、格式正确的 XML 片段(例如拼好的- ...
- 若 XML 内容来自用户输入或不可信数据,
$esc.xml()更稳妥;若只是模板内硬编码或服务端已构造好的 XML 字符串,#[[ ]]更简洁
常见错误:混用转义导致双重编码
典型表现是 XML 中出现 这类嵌套编码,解析器直接报错。原因常是:
- 变量本身已是转义后的字符串(如后端传入
"zuojiankuohaophpcnnameyoujiankuohaophpcnTomzuojiankuohaophpcn/nameyoujiankuohaophpcn"),又套了一层$esc.xml() - 误用
$esc.html()处理 XML 内容(它会多转义斜杠、引号等,不适用于 XML) - 在
#[[ ]]块里又调用$esc.xml(),造成冗余
验证方法:打印原始变量值($responseXml)和处理后值对比,确认是否已含 & 前缀。
完整示例:生成合规的 XML 响应
假设后端传入变量:$userName = "Alice & Bob",$xmlBody = ":
#set($userName = "Alice & Bob") #set($xmlBody = "") Alice & Bob success #[[ $xmlBody ]]$esc.xml($userName)
注意:#[[ $xmlBody ]] 直接输出原字符串,而 $userName 需经 $esc.xml() 处理——因为它是纯文本内容,不是完整 XML 标签。
真正容易被忽略的是:XML 声明行()必须独立存在且位于最开头,Velocity 模板里任何前置空格、换行、注释都会让解析器拒收。务必检查生成结果的首字节是不是 。
