安全高效跨平台的. NET 模板引擎 Fluid 使用文档
liquid 是一门开源的模板语言,由 shopify 创造并用 ruby 实现。它是 shopify 主题的主要构成部分,并且被用于加载店铺系统的动态内容。它是一种安全的模板语言,对于非程序员的受众来说也非常容易理解。
fluid 是一个基于 liquid 模板语言的开源 .net 模板引擎。由 sébastien ros 开发并发布在 github 上,nuget 上的引用地址是: https://www.nuget.org/packages/fluid.core 。
liquid 模板语言
如果你对 liquid 模板语言还不了解,可以先行查看笔者翻译的 liquid 模板语言中文文档: 。liquid 模板的文件扩展名为 .liquid ,假如我们有以下 liquid 模板:
<ul id="products"> {% for product in products %} <li> <h2>{{product.name}}</h2> only {{product.price | price }} {{product.description | prettyprint | paragraph }} </li> {% endfor %} </ul>
该模板被渲染后将会产生以下输出:
<ul id="products"> <li> <h2>apple</h2> $329 flat-out fun. </li> <li> <h2>orange</h2> $25 colorful. </li> <li> <h2>banana</h2> $99 peel it. </li> </ul>
在项目中使用 fluid
你可以直接在项目中引用 nuget 包。
hello world
c# 代码:
var parser = new fluidparser(); var model = new { firstname = "bill", lastname = "gates" }; var source = "hello {{ firstname }} {{ lastname }}"; if (parser.tryparse(source, out var template, out var error)) { var context = new templatecontext(model); console.writeline(template.render(context)); } else { console.writeline($"error: {error}"); }
运行结果:
hello bill gates
线程安全
fluidparser 类型是线程安全的,可以被整个应用程序共享。常规做法是将其定义为一个本地的静态变量:
private static readonly fluidparser _parser = new fluidparser();
ifluidtemplate 类型也是线程安全的,其实例可以被缓存起来,并被多个线程并发使用。
templatecontext 不是线程安全的,每次使用时都应该新建一个实例。
过滤器
过滤器 改变 liquid 对象的输出,通过一个 | 符号分隔。
{{ "/my/fancy/url" | append: ".html" }}
/my/fancy/url.html
多个过滤器可以共同作用于同一个输出,并按照从左到右的顺序执行。
{{ "adam!" | capitalize | prepend: "hello " }}
hello adam!
fluid 实现了 liquid 所有的标准过滤器,同时支持自定义过滤器。
自定义的过滤器可以是同步的,也可以是异步的。过滤器被定义为一个委托,该委托接收一个输入,一个参数集合和当前的渲染上下文。以下是一个实现文字转小写过滤器的代码:
public static valuetask<fluidvalue> downcase(fluidvalue input, filterarguments arguments, templatecontext context) { return new stringvalue(input.tostringvalue().tolower()); }
过滤器需要注册在 templateoptions 对象上,该 options 对象可以被重用。
var options = new templateoptions(); options.filters.addfilter('downcase', downcase); var context = new templatecontext(options);
成员属性白名单
liquid 是一种安全的模板语言,它只允许白名单中的成员属性被访问,并且成员属性不能被改变。白名单成员需要被加入到 templateoptions.memberaccessstrategy 中。
另外,memberaccessstrategy 可以被设置为 unsafememberaccessstrategy ,这将允许模板语言访问所有成员属性。
将特定类型加入白名单
下面的代码会将 person 类型加入白名单,这意味着该类型下所有公开的字段和属性都可以被模板读取:
var options = new templateoptions(); options.memberaccessstrategy.register<person>();
注意:当用 new templatecontext(model) 传递一个模型时,模型对象会被自动加入白名单。该行为可以通过调用 new templatecontext(model, false) 来禁用。
将特定成员加入白名单
下面的代码只允许模板读取特定的成员:
var options = new templateoptions(); options.memberaccessstrategy.register<person>("firstname", "lastname");
访问拦截
fluid 提供了一种可以在运行时拦截属性访问的方式,通过该方式你可以允许访问成员并返回自定义值,或者阻止访问。
下面的代码演示了如何拦截对 jobject 的调用并返回相应的属性:
var options = new templateoptions(); options.memberaccessstrategy.register<jobject, object>((obj, name) => obj[name]);
继承处理
当被注册到白名单中的类型包含继承关系时,情况将变得复杂:默认情况下被注册类型的父类实例成员将不能被访问,子类实例中的派生成员可以被访问。
类型定义
public class animal { public string type { get; set; } } public class human : animal { public string name { get; set; } public int32 age { get; set; } } public class boy : human { public string toys { get; set; } }
测试代码
var parser = new fluidparser(); var model = new { }; var source = @" animal=type:{{animal.type}} human=type:{{human.type}},name:{{human.name}},age:{{human.age}} boy=type:{{boy.type}},name:{{boy.name}},age:{{boy.age}},toys:{{boy.toys}} "; var options = new fluid.templateoptions { }; options.memberaccessstrategy.register(typeof(human)); if (parser.tryparse(source, out var template, out var error)) { var context = new templatecontext(model, options); context.setvalue("animal", new animal { type = "human" }); context.setvalue("human", new human { type = "human", name = "码农很忙", age = 30 }); context.setvalue("boy", new boy { type = "human", name = "小明", age = 10, toys = "小汽车" }); console.writeline(template.render(context)); } else { console.writeline($"error: {error}"); }
输出结果
animal=type: human=type:human,name:码农很忙,age:30 boy=type:human,name:小明,age:10,toys:
成员名称风格
默认情况下,注册对象的属性是区分大小写的,并按照其源代码中的内容进行注册。例如,属性 firstname 将使用 {{ p.firstname }} 标签访问。
同时,也可以配置使用不同的名称风格。比如小驼峰(firstname)或者蛇形(first_name)风格。
以下代码可以配置为使用小驼峰风格:
var options = new templateoptions(); options.memberaccessstrategy.membernamestrategy = membernamestrategies.camelcase;
执行限制
限制模板递归
当调用 {% include 'sub-template' %} 语句时,有些模板可能会产生无限的递归,从而阻塞服务器。为了防止这种情况,templateoptions 类定义了一个默认的 maxrecursion = 100 ,防止模板的深度超过100 。
限制模板执行
模板可能会不经意地创建无限循环,这可能会使服务器无限期地运行而堵塞。为了防止这种情况,templateoptions 类定义了一个默认的 maxsteps。默认情况下,这个值没有被设置。
转换 clr 类型
当一个对象在模板中被操作时,它会被转换为一个特定的 fluidvalue 实例。该机制与 javascript 中的动态类型系统有些类似。
在liquid中,它们可以是数字、字符串、布尔值、数组或字典。fluid会自动将clr类型转换为相应的liquid类型,同时也提供专门的类型。
为了能够定制这种转换,你可以添加自定义的转换器。
添加一个值转换器
当转换逻辑不能直接从一个对象的类型中推断出来时,可以使用一个值转换器。
值转换器可以返回:
-
null 代表值不能被转换。
- 一个 fluidvalue 实例,代表停止进一步的转换,并使用这个值。
- 其他对象实例,代表需要继续使用自定义和内部类型映射进行转换。
以下的代码演示了如何将实现接口的任意实例转换为自定义字符串值:
var options = new templateoptions(); options.valueconverters.add((value) => value is iuser user ? user.name : null);
注意:类型映射的定义是全局的,对整个程序都生效。
在模型中使用 json.net 对象
json.net 中使用的类并不像类那样有直接命名的属性,这使得它们在 liquid 模板中无法开箱使用。
为了弥补这一点,我们可以配置 fluid,将名称映射为 jobject 属性,并将 jvalue 对象转换为 fluid 所使用的对象。
var options = new templateoptions(); // when a property of a jobject value is accessed, try to look into its properties options.memberaccessstrategy.register<jobject, object>((source, name) => source[name]); // convert jtoken to fluidvalue options.valueconverters.add(x => x is jobject o ? new objectvalue(o) : null); options.valueconverters.add(x => x is jvalue v ? v.value : null); var model = jobject.parse("{\"name\": \"bill\"}"); var parser = new fluidparser(); parser.tryparse("his name is {{ name }}", out var template); var context = new templatecontext(model, options); console.writeline(template.render(context));
编码
默认情况下,fluid 不会对输出进行编码。在模板上调用 render() 或 renderasync() 时可以指定编码器。
html 编码
可以使用 system.text.encodings.web.htmlencoder.default 实例来渲染 html 编码的模板。
该编码被 mvc view engine 作为默认编码使用。
在上下文中禁用编码
当一个编码器被定义后,你可以使用一个特殊的 raw 过滤器或 {% raw %} … {% endraw %} 标签来阻止一个值被编码。例如,如果你知道这个内容是 html 并且是安全的:
代码
{% assign html = '<em>this is some html</em>' %} encoded: {{ html }} not encoded: {{ html | raw }
结果
<em%gt;this is some html</em%gt; <em>this is some html</em>
capture 块不会被二次编码
当使用 capture 块时,内部内容被标记为预编码,如果在 {{ }} 标签中使用,就不会被再次编码。
代码
{% capture breaktag %}<br />{% endcapture %} {{ breaktag }}
结果
<br />
本地化
默认情况下,模板使用不变的文化( invariant culture ,对应 cultureinfo.invariantculture 。)进行渲染,这样在不同的系统中可以得到一致的结果。这项设置在输出日期、时间和数字时很重要。
即便如此,也可以使用 templatecontext.cultureinfo 属性来定义渲染模板时使用的文化信息(你也可以称之为多语言信息)。
代码
var options = new templateoptions(); options.cultureinfo = new cultureinfo("en-us"); var context = new templatecontext(options); var result = template.render(context);
模板
{{ 1234.56 }} {{ "now" | date: "%v" }}
结果
1234.56 tuesday, august 1, 2017
时区
系统时区
templateoptions 和 templatecontext 提供了一个定义默认时区的属性,以便在解析日期和时间时使用。该属性的默认值是当前系统的时区。当日期和时间被解析而没有指定时区时,将会使用默认时区。设置一个自定义的时区可以防止在不同环境(数据中心)时产生不同的结果。
注意:date 过滤器符合 ruby 的日期和时间格式: https://ruby-doc.org/core-3.0.0/time.html#method-i-strftime 。要使用 .net 标准的日期格式,请使用 format_date 过滤器。
代码
var context = new templatecontext { timezone = timezoneinfo.findsystemtimezonebyid("pacific standard time") } ; var result = template.render(context);
模板
{{ '1970-01-01 00:00:00' | date: '%c' }}
结果
wed dec 31 19:00:00 -08:00 1969
时区转换
日期和时间可以使用 time_zone 标签转换为特定的时区,格式为:time_zone:<iana> 。
代码
var context = new templatecontext(); context.setvalue("published", datetime.utcnow);
模板
{{ published | time_zone: 'america/new_york' | date: '%+' }}
结果
tue aug 1 17:04:36 -05:00 2017
自定义标签和块
fluid 的语法可以被修改,以使其接受任何新的标记(tag)和带有任何自定义参数的块(block)。fluid 使用了 parlot 作为语法分析器,这使得 fluid 完全可扩展。
与块(block)不同,标记(tag)没有结束元素(例如:循环,自增)。当把一个模板的某个部分作为一组语句来操作时,块很有用。
fluid 提供了用于注册常见标签和块的帮助方法。所有的标签和块总是以他们的名称作为标识符开始。
自定义标签时需要提供一个委托(delegate),该委托会在标签被匹配时执行。该委托可以使用使用以下三个属性:
-
writer,textwriter的实例,用于渲染文字。
-
encode,textencoder的实例,例如 htmlencoder 或者 nullencoder。由模板的调用者定义。
-
context,templatecontext 的实例。
注册自定义标签
自定义标签可以分为三种类型:
- empty:空白标签,没有任何参数,例如 {% renderbody %} 。
- identifier:标识符。将标识符作为标签参数,例如 {% increment my_variable %} 。
- expression:表达式。以表达式作为参数,例如 {% layout 'home' | append: '.liquid' %} 。
代码
parser.registeridentifiertag("hello", (identifier, writer, encoder, context) => { writer.write("hello "); writer.write(identifier); });
模板
{% hello you %}
结果
hello you
注册自定义块
块的创建方式与标记相同,可以在委托中访问块内的语句列表。
源码
parser.registerexpressionblock("repeat", (value, statements, writer, encoder, context) => { for (var i = 0; i < value.tonumber(); i++) { await return statements.renderstatementsasync(writer, encoder, context); } return completion.normal; });
模板
{% repeat 1 | plus: 2 %}hi! {% endrepeat %}
结果
hi! hi! hi!
自定义模板解析
如果 identifier、 empty 和 expression 解析器不能满足你的要求,registerparserblock 和 registerparsertag 方法可以接受自定义的解析结构。这些结构可以是 fluidparser 中定义的标准解析器,例如 primary 或者其他任意组合。
例如,registerparsetag(primary.andskip(comma).and(primary), …) 将期望两个 primary 元素用逗号隔开。然后,该委托将被调用,使用 valuetuple<expression, expression> 代表这两个 primary 表达式。
注册自定义运算符
运算符是用来比较数值的,比如 > 或 contains 。如果需要提供特殊的比较,可以定义自定义运算符。
自定义 xor 运算符
下面的例子创建了一个自定义的 xor 运算符,如果左或右表达式被转换为布尔时只有一个是真的,它将为真。
using fluid.ast; using fluid.values; using system.threading.tasks; namespace fluid.tests.extensibility { public class xorbinaryexpression : binaryexpression { public xorbinaryexpression(expression left, expression right) : base(left, right) { } public override async valuetask<fluidvalue> evaluateasync(templatecontext context) { var leftvalue = await left.evaluateasync(context); var rightvalue = await right.evaluateasync(context); return booleanvalue.create(leftvalue.tobooleanvalue() ^ rightvalue.tobooleanvalue()); } } }
配置解析器
parser.registeredoperators["xor"] = (a, b) => new xorbinaryexpression(a, b);
模板
{% if true xor false %}hello{% endif %}
结果
hello
空白控制
liquid 在支持空白方面遵循严格的规则。默认情况下,所有的空格和新行都从模板中保留下来。liquid 的语法和一些 fluid 选项允许自定义这种行为。
通过连字符控制空白输出
例如有以下模板:
{% assign name = "bill" %} {{ name }}
在 assign 标签之后的换行将被保留下来。输出如下:
bill
标签和值可以使用连字符来剥离空白。
{% assign name = "bill" -%} {{ name }}
这将输出:
bill
模板中的 -%} 将 assign 标签右侧的空白部分剥离。
通过模板选项控制空白输出
fluid 提供了 templateoptions.triming 属性,可以用预定义的偏好来设置何时应该自动剥离空白,即使标签和输出值中不存在连字符。
贪婪模式
当 templateoptions.greedy 中的贪婪模式被禁用时,只有第一个新行之前的空格被剥离。贪婪模式默认启用,这是 liquid 语言的标准行为。
自定义过滤器
fliud 默认提供了一些非标准过滤器。
format_date
使用标准的 .net 日期和时间格式来格式化日期和时间。它使用系统当前的多语言信息。
输入
"now" | format_date: "g"
输出
6/15/2009 1:45:30 pm
详细的文档可以看这里:
format_number
使用 .net 数字格式来格式化数字。
输入
123 | format_number: "n"
输出
123.00
详细的文档可以看这里:
format_string
格式化字符串
输入
"hello {0} {1:c}" | format_string: "world" 123
输出
hello world $123.00
详细的文档可以看这里:
性能测试
缓存
如果你在渲染之前对解析过的模板进行缓存,你的应用程序可以获得一些性能提升。解析是内存安全的,因为它不会引起任何编译(意味着如果你决定解析大量的模板,所有的内存都可以被收集),你可以通过存储和重用 fluidtemplate 实例来跳过解析步骤。
只要每次对 render() 的调用使用一个独立的 templatecontext 实例,这些对象就是线程安全的。
基准测试
fluid 项目的源代码中提供了一个基准测试应用程序,用于比较 fluid、scriban、dotliquid 和 liquid.net 。在本地运行该项目,分析执行特定模板所需的时间。
results
fluid 比所有其他知名的 .net liquid 模板分析器更快,分配的内存更少。对于解析,fluid 比 scriban快30%,分配的内存少 3 倍。对于渲染,fluid 比 scriban 快 3 倍,分配的内存少 5 倍。与 dotliquid 相比,fluid 的渲染速度快 10 倍,分配的内存少 40 倍。
benchmarkdotnet=v0.12.1, os=windows 10.0.19042 intel core i7-1065g7 cpu 1.30ghz, 1 cpu, 8 logical and 4 physical cores .net core sdk=5.0.201 [host] : .net core 5.0.4 (coreclr 5.0.421.11614, corefx 5.0.421.11614), x64 ryujit shortrun : .net core 5.0.4 (coreclr 5.0.421.11614, corefx 5.0.421.11614), x64 ryujit job=shortrun iterationcount=3 launchcount=1 warmupcount=3 | method | mean | error | stddev | ratio | ratiosd | gen 0 | gen 1 | gen 2 | allocated | |------------------- |--------------:|-------------:|------------:|-------:|--------:|----------:|---------:|--------:|------------:| | fluid_parse | 7.056 us | 1.081 us | 0.0592 us | 1.00 | 0.00 | 0.6714 | - | - | 2.77 kb | | scriban_parse | 9.209 us | 2.989 us | 0.1638 us | 1.31 | 0.03 | 1.8005 | - | - | 7.41 kb | | dotliquid_parse | 38.978 us | 13.704 us | 0.7512 us | 5.52 | 0.14 | 2.6855 | - | - | 11.17 kb | | liquidnet_parse | 73.198 us | 25.888 us | 1.4190 us | 10.37 | 0.29 | 15.1367 | 0.1221 | - | 62.08 kb | | | | | | | | | | | | | fluid_parsebig | 38.725 us | 11.771 us | 0.6452 us | 1.00 | 0.00 | 2.9907 | 0.1831 | - | 12.34 kb | | scriban_parsebig | 49.139 us | 8.313 us | 0.4557 us | 1.27 | 0.02 | 7.8125 | 1.0986 | - | 32.05 kb | | dotliquid_parsebig | 208.644 us | 45.839 us | 2.5126 us | 5.39 | 0.15 | 13.1836 | 0.2441 | - | 54.39 kb | | liquidnet_parsebig | 24,211.719 us | 3,862.113 us | 211.6955 us | 625.30 | 8.32 | 6843.7500 | 375.0000 | - | 28557.49 kb | | | | | | | | | | | | | fluid_render | 414.462 us | 12.612 us | 0.6913 us | 1.00 | 0.00 | 22.9492 | 5.3711 | - | 95.75 kb | | scriban_render | 1,141.302 us | 114.127 us | 6.2557 us | 2.75 | 0.02 | 99.6094 | 66.4063 | 66.4063 | 487.64 kb | | dotliquid_render | 5,753.263 us | 7,420.054 us | 406.7182 us | 13.88 | 0.96 | 867.1875 | 125.0000 | 23.4375 | 3879.18 kb | | liquidnet_render | 3,262.545 us | 1,245.387 us | 68.2639 us | 7.87 | 0.18 | 1000.0000 | 390.6250 | - | 5324.5 kb |
以上结果的测试时间是 2021年3月26 日,使用的组件详情如下:
- scriban 3.6.0
- dotliquid 2.1.405
- liquid.net 0.10.0
测试项目说明
parse:解析一个包含过滤器和属性的简单 html 模板。
parsebig:解析一个博客文章模板。
render:使用 500 个产品渲染一个包含过滤器和属性的简单 html 模板。