我有一个变量({{title}}),其中包含一个撇号。Mustache会将其转义为'。
但是,以下模板导致JavaScript错误(Expected token ')'):
<a href="javascript:confirm('{{title}}?');">{{title}}</a>
Mustache渲染后,语法错误变得清晰明了('Joe's Lame?'):
<a href="javascript:confirm('Joe's Lame?');">Joe's Lame</a>
我仍在学习Mustache,尽管这个例子是刻意编造的,但在这种情况下正确的转义变量的方法是什么。
参考示例。
注:我知道这是一篇旧文章,但如果有人发现它有用的话,请留下。像我一样,在了解三重括号解决方案之前,我也先发现了你的帖子。
在Mustache中,只需使用三重括号,不必感到头痛:
{{{title}}}
但是对于您的情况,仅仅通过转义单引号是不够的。你还需要将单引号和双引号进行反转,像这样:
<a href='javascript:confirm("{{{title}}}?");'>{{{title}}}</a>
{{title}}变量,而不是整个锚点标签。上面的答案提供了转义整个锚点标签的解决方案,但也没有被标记为答案。 - Antonio Ooi{{title}}之外,整个JS字符串都没有要求转义。 - Antonio Ooititle 包含双引号,你的解决方案是无效的。如果你说这就是 OP 要求的并想提供一个有问题的解决方案,请至少添加一个有关 XSS 的警告。 - BergiHandlebars.registerHelper('escapeJs', function(str) {
return str.replace(/[\'\"\\\/]/gm, function (c) {
return '\\' + c;
});
});
您可以像这样调用您的助手:{{escapeJs title}}:
var view = {
title: "Joe's Lame\"\\/€"
};
var template = Handlebars.compile(
"<a href=\"javascript:confirm('{{escapeJs title}}');\">{{title}}</a>");
var output = template(view);
在fiddle中实时查看它。
Mustache非常酷,几乎可以在任何编程语言中使用。Handlebars很棒,例如在Backbone Thorax和assemble等强大的静态网站生成器中使用。
编辑:备选方案
当使用ECMAScript 5(并且通过shim/shiv/polyfills应该也可以在IE8上工作)时,可以按照以下方式为Mustache准备视图对象。我承认,这不是一个非常方便的解决方案,但是当产生JavaScript输出很少时,这可能是可以接受的。
function escapeJs (str) {
return str.replace(/[\'\"\\\/]/gm, function (c) {
return '\\' + c;
});
}
var view = {
title: "Joe's Lame"
};
Object.defineProperty(view, 'titleJsEnc', {
enumerable: false,
get: function () { return escapeJs(this.title); }
});
var output = Mustache.render(
"<a href=\"javascript:confirm('{{titleJsEnc}}');\">{{title}}</a>", view);
通过 Object.defineProperty 定义一个新属性即可实现。可以编写一个通用的对象装饰器,为每个真实属性定义一个 getter,返回转义后的字符串值。
这里是fiddle。
编辑:替代方案:等待 Mustache 的新版本
一旦pull-request被合并并发布了 Mustache 的新版本,这个问题就应该以“Mustache 本地方式”得到解决。
Handlebars.registerHelper) 中应该不是什么大问题... - hgoeblescapeJs,然后在你的模板中像这样使用它:{{escapeJS title}}。如果我有时间,我会fork你的fiddle... - hgoebl"<a href='javascript:confirm(\"{{title}}\");'>{{title</a>}}"。 - hgoebl