Escape quote ใน JavaScript

ฉันกำลังส่งออกค่าจากฐานข้อมูล (ไม่เปิดให้เข้าสู่สาธารณะจริงๆ แต่เปิดให้ผู้ใช้ที่ บริษัท เข้าสู่รายการ - หมายถึงฉันไม่กังวลเกี่ยวกับXSS )

ฉันพยายามที่จะออกแท็กเช่นนี้:

<a href="" onclick="DoEdit('DESCRIPTION');">Click Me</a>

DESCRIPTION เป็นค่าจากฐานข้อมูลที่มีลักษณะดังนี้:

Prelim Assess "Mini" Report

ฉันได้ลองแทนที่ "ด้วย \" แต่ไม่ว่าฉันจะลองอะไร Firefox จะตัดการโทร JavaScript ของฉันหลังจากเว้นวรรคหลังคำประเมินและมันทำให้เกิดปัญหาทุกประเภท

ฉันต้องไม่ละคำตอบที่ชัดเจน แต่สำหรับชีวิตของฉันฉันไม่สามารถหาคำตอบได้

ใครสนใจชี้ให้เห็นความโง่ของฉัน?

นี่คือหน้า HTML ทั้งหมด (มันจะเป็นหน้าASP.NETในที่สุด แต่เพื่อที่จะแก้ปัญหานี้ฉันก็เอาทุกอย่างออกไปยกเว้นรหัสปัญหา)

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment \"Mini\"'); return false;">edit</a>
    </body>
</html>

คุณต้องหลีกเลี่ยงสตริงที่คุณกำลังเขียนลงDoEditไปเพื่อกำจัดอักขระที่มีเครื่องหมายคำพูดคู่ สิ่งเหล่านี้ทำให้onclickแอตทริบิวต์ HTML ปิดก่อนกำหนด

การใช้ JavaScript escape character \นั้นไม่เพียงพอในบริบท HTML คุณจำเป็นต้องเปลี่ยนคู่อ้างกับตัวแทนนิติบุคคล XML "ที่เหมาะสม

" จะทำงานในกรณีนี้ตามที่แนะนำไว้ก่อนหน้าฉันเนื่องจากบริบท HTML

อย่างไรก็ตามหากคุณต้องการให้โค้ด JavaScript ของคุณถูกหลบหนีอย่างอิสระสำหรับบริบทใด ๆ คุณสามารถเลือกใช้การเข้ารหัส JavaScript ดั้งเดิม:
'กลาย\x27
"เป็น\x22

ดังนั้น onclick ของคุณจะกลายเป็น:
DoEdit('Preliminary Assessment \x22Mini\x22');

สิ่งนี้จะทำงานได้เช่นกันเมื่อผ่านสตริง JavaScript เป็นพารามิเตอร์ไปยังวิธี JavaScript อื่น ( alert()เป็นวิธีทดสอบอย่างง่ายสำหรับเรื่องนี้)

ฉันกำลังอ้างอิงถึงคำถาม Stack Overflow ที่ซ้ำกันฉันจะหลีกเลี่ยงสตริงภายในโค้ด JavaScript ภายในตัวจัดการ onClick ได้อย่างไร .

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment &quot;Mini&quot;'); return false;">edit</a>
    </body>
</html>

ควรทำเคล็ดลับ

Folks มีunescapeฟังก์ชั่นใน JavaScript อยู่แล้วซึ่งไม่ทำการหลบหนีสำหรับ\":

<script type="text/javascript">
    var str="this is \"good\"";
    document.write(unescape(str))
</script>

ปัญหาคือ HTML ไม่รู้จักอักขระเลี่ยง คุณสามารถแก้ไขได้โดยใช้เครื่องหมายคำพูดเดี่ยวสำหรับแอตทริบิวต์ HTML และเครื่องหมายคำพูดคู่สำหรับ onclick

<a href="#" onclick='DoEdit("Preliminary Assessment \"Mini\""); return false;'>edit</a>

str.replace(/[\""]/g, '\\"')นี่คือวิธีที่ผมทำมันโดยทั่วไป

var display = document.getElementById('output');
var str = 'class="whatever-foo__input" id="node-key"';
display.innerHTML = str.replace(/[\""]/g, '\\"');

//will return class=\"whatever-foo__input\" id=\"node-key\"

<span id="output"></span>

หากคุณกำลังรวบรวม HTML ใน Java คุณสามารถใช้คลาสยูทิลิตี้ที่ดีนี้จาก Apache Commons-lang เพื่อหลบหนีอย่างถูกต้อง:

org.apache.commons.lang.StringEscapeUtils
Escapes และ unescapes Strings สำหรับ Java, Java Script, HTML, XML และ SQL

ฉันทำตัวอย่างโดยใช้ jQuery

var descr = 'test"inside"outside';
$(function(){
   $("#div1").append('<a href="#" onclick="DoEdit(descr);">Click Me</a>');       
});

function DoEdit(desc)
{
    alert ( desc );
}

และสิ่งนี้ใช้ได้ใน Internet Explorer และ Firefox

คุณสามารถคัดลอกทั้งสองฟังก์ชั่น (รายการด้านล่าง) และใช้เพื่อหลีกเลี่ยง / ยกเลิกการใส่เครื่องหมายคำพูดและอักขระพิเศษทั้งหมด คุณไม่จำเป็นต้องใช้ jQuery หรือไลบรารี่อื่นสำหรับสิ่งนี้

function escape(s) {
    return ('' + s)
        .replace(/\\/g, '\\\\')
        .replace(/\t/g, '\\t')
        .replace(/\n/g, '\\n')
        .replace(/\u00A0/g, '\\u00A0')
        .replace(/&/g, '\\x26')
        .replace(/'/g, '\\x27')
        .replace(/"/g, '\\x22')
        .replace(/</g, '\\x3C')
        .replace(/>/g, '\\x3E');
}

function unescape(s) {
    s = ('' + s)
       .replace(/\\x3E/g, '>')
       .replace(/\\x3C/g, '<')
       .replace(/\\x22/g, '"')
       .replace(/\\x27/g, "'")
       .replace(/\\x26/g, '&')
       .replace(/\\u00A0/g, '\u00A0')
       .replace(/\\n/g, '\n')
       .replace(/\\t/g, '\t');

    return s.replace(/\\\\/g, '\\');
}

กรุณาค้นหาในรหัสด้านล่างซึ่งหนีราคาเดียวเป็นส่วนหนึ่งของสตริงที่ป้อนโดยใช้การแสดงออกปกติ มันจะตรวจสอบว่าสตริงที่ผู้ใช้ป้อนถูกคั่นด้วยเครื่องหมายจุลภาคและในเวลาเดียวกันมันก็ยังหนีคำพูดใด ๆ ที่ป้อนเป็นส่วนหนึ่งของสตริง

เพื่อที่จะหลบหนีคำพูดเพียงแค่ใส่เครื่องหมายทับย้อนกลับตามด้วยคำพูดเดียวเช่น: \ 'เป็นส่วนหนึ่งของสตริง ฉันใช้ jQuery validator สำหรับตัวอย่างนี้และคุณสามารถใช้ตามความสะดวกของคุณ

ตัวอย่างสตริงที่ถูกต้อง:

'สวัสดี'

'สวัสดีชาวโลก'

'สวัสดีชาวโลก'

'สวัสดีชาวโลก',' '

'มันเป็นโลกของฉัน', 'ไม่สามารถสนุกได้หากไม่มีฉัน', 'ยินดีต้อนรับแขก'

HTML:

<tr>
    <td>
        <label class="control-label">
            String Field:
        </label>
        <div class="inner-addon right-addon">
            <input type="text" id="stringField"
                   name="stringField"
                   class="form-control"
                   autocomplete="off"
                   data-rule-required="true"
                   data-msg-required="Cannot be blank."
                   data-rule-commaSeparatedText="true"
                   data-msg-commaSeparatedText="Invalid comma separated value(s).">
        </div>
    </td>

JavaScript:

     /**
 *
 * @param {type} param1
 * @param {type} param2
 * @param {type} param3
 */
jQuery.validator.addMethod('commaSeparatedText', function(value, element) {

    if (value.length === 0) {
        return true;
    }
    var expression = new RegExp("^((')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))(((,)|(,\\s))(')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))*$");
    return expression.test(value);
}, 'Invalid comma separated string values.');

หลบหนีจากช่องว่างเช่นกัน ฟังดูเหมือนว่า Firefox จะถือว่ามีข้อโต้แย้งสามข้อแทนที่จะเป็นข้อโต้แย้งเดียว  เป็นอักขระช่องว่างที่ไม่ทำลาย แม้ว่าจะไม่ใช่ปัญหาทั้งหมด แต่ก็อาจเป็นความคิดที่ดี

คุณต้องหลีกเลี่ยงเครื่องหมายคำพูดด้วยแบ็กสแลชคู่

สิ่งนี้ล้มเหลว (ผลิตโดยjson_encodeของ PHP ):

<script>
  var jsonString = '[{"key":"my \"value\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

งานนี้:

<script>
  var jsonString = '[{"key":"my \\"value\\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

คุณสามารถใช้เมธอด escape () และ unescape () jQuery ชอบด้านล่าง

ใช้ในการหลบหนีสตริงและกู้คืนอีกครั้งโดยใช้escape(str);unescape(str_esc);