如何在 Java Servlet 中动态处理 HTML 模板文件_技术教程

本文介绍如何使用 java servlet 读取 `.tpl` html 模板文件，解析占位符（如 `{pet.name}`），注入真实数据后返回渲染后的 html 页面，实现轻量级服务端模板填充。

在 Java Web 开发中，Servlet 本身不内置模板引擎，但完全可以手动实现简单的占位符替换逻辑来处理 HTML 模板。以下是一个完整、可运行的教程式实现，涵盖路径解析、模板读取、数据绑定与响应输出。

✅ 核心思路

URL 路由识别：通过 request.getPathInfo() 获取请求路径（如 /index.tpl），结合预设目录定位模板文件；
安全读取模板：使用 Files.readAllBytes() 读取 UTF-8 编码的 .tpl 文件内容；
占位符替换：用 String.replace() 或正则表达式（推荐 Pattern.compile("\\{([^}]+)\\}").matcher(...)）安全替换 {pet.name}、{pet.age} 等字段；
数据准备：根据 id 参数查询业务对象（如 Pet），确保非空校验；
响应设置：显式设置 Content-Type: text/html; charset=UTF-8，避免中文乱码。

? 示例代码（完整 doGet 实现）

@WebServlet("/template/*")
public class TemplateServlet extends HttpServlet {
    private static final String BASE_PATH = "/WEB-INF/templates"; // 模板存放于 WEB-INF 下更安全

    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {

        // 1. 解析请求路径，如 /template/index.tpl → getPathInfo() 返回 "/index.tpl"
        String pathInfo = request.getPathInfo();
        if (pathInfo == null || !pathInfo.endsWith(".tpl")) {
            response.sendError(HttpServletResponse.SC_NOT_FOUND, "Template not found");
            return;
        }

        // 2. 构建安全文件路径（防止路径遍历）
        String fileName = pathInfo.substring(1); // 去掉开头 '/'
        String filePath = getServletContext().getRealPath(BASE_PATH + "/" + fileName);
        File templateFile = new File(filePath);

        // 安全校验：确保文件在允许目录内且为普通文件
        if (!templateFile.exists() || !templateFile.isFile() || 
            !filePath.startsWith(getServletContext().getRealPath(BASE_PATH))) {
            response.sendError(HttpServletResponse.SC_NOT_FOUND);
            return;
        }

        // 3. 读取模板内容（UTF-8）
        String template = Files.readString(templateFile.toPath(), StandardCharsets.UTF_8);

        // 4. 获取参数并加载数据
        String idParam = request.getParameter("id");
        if (idParam == null || idParam.trim().isEmpty()) {
            response.sendError(HttpServletResponse.SC_BAD_REQUEST, "Missing 'id' parameter");
            return;
        }
        Pet pet = loadPetById(idParam); // 你自己的数据访问逻辑，需自行实现
        if (pet == null) {
            response.sendError(HttpServletResponse.SC_NOT_FOUND, "Pet not found");
            return;
        }

        // 5. 占位符替换（简单版，生产环境建议用 Map + 正则遍历）
        String result = template
                .replace("{pet.name}", escapeHtml(pet.getName()))
                .replace("{pet.age}", String.valueOf(pet.getAge()));

        // 6. 输出响应
        response.setContentType("text/html; charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_OK);
        response.getWriter().write(result);
        response.getWriter().flush();
    }

    // 简单 HTML 转义，防止 XSS（关键！）
    private String escapeHtml(String input) {
        if (input == null) return "";
        return input.replace("&", "&")
                    .replace("<", "zuojiankuohaophpcn")
                    .replace(">", "youjiankuohaophpcn")
                    .replace("\"", """)
                    .replace("'", "'");
    }

    // 示例数据加载方法（请按实际 DAO 替换）
    private Pet loadPetById(String id) {
        // 示例：模拟数据库查询
        return "1".equals(id) ? new Pet("Buddy", 3) : null;
    }
}

⚠️ 重要注意事项

安全性第一：永远不要直接拼接用户输入的路径（如 request.getPathInfo()）构造 File 对象，必须做白名单校验或限定根目录（如本例中 getRealPath(BASE_PATH) 的双重约束）；
XSS 防护：所有动态插入模板的变量必须 HTML 转义（如 escapeHtml()），否则将导致严重跨站脚本漏洞；
编码统一：模板文件务必保存为 UTF-8，且 Files.readString(..., UTF_8) 与 response.setContentType("...charset=UTF-8") 必须一致；
性能优化：频繁访问的模板建议启动时缓存到内存（如 ConcurrentHashMap），避免每次读磁盘；
扩展建议：如需更强大功能（循环、条件、嵌套），应引入成熟模板引擎（如 Thymeleaf、Freemarker），而非手动维护复杂替换逻辑。