我正在从数据库输出值(它不是公开的输入,但用户在公司可以进行输入 - 这意味着,我不担心XSS)。
我正在尝试输出这样的标签:
<a href="" onclick="DoEdit('DESCRIPTION');">Click Me</a>
DESCRIPTION其实是来自数据库的一个值,类似于这样:
Prelim Assess "Mini" Report
<html>
<body>
<a href="#" onclick="DoEdit('Preliminary Assessment \"Mini\"'); return false;">edit</a>
</body>
</html>
您需要转义写入到 DoEdit 中的字符串以清除双引号字符。他们导致 onclick HTML 属性过早关闭。
在 HTML 上下文中使用 JavaScript 转义字符 \ 是不足够的。您需要将双引号替换为正确的 XML 实体表示,即 "。
"在这种特定情况下可以使用,正如我之前建议的那样,因为这是HTML上下文。
然而,如果您希望JavaScript代码独立于任何上下文进行转义,您可以选择使用本地JavaScript编码:
'变成\x27
"变成\x22
因此,您的onclick将变成:DoEdit('初步评估\x22Mini\x22');
例如,将JavaScript字符串作为参数传递给另一个JavaScript方法时,也可以使用此方法(alert()是此类测试方法)。
我参考了重复的Stack Overflow问题,如何转义onClick处理程序内的JavaScript代码中的字符串?。
"当然也可以。 - Oliver",例如 <input value="\x22quoted string\x22"> 将无法正常工作。 - thdoanonclick="...")。value 属性的值不会在 JavaScript 上下文中被处理,只会在 HTML 上下文中被处理。 - tsemer'mystring'.replace(/"/g, '\\x22').replace(/'/g, '\\x27') - chickens<html>
<body>
<a href="#" onclick="DoEdit('Preliminary Assessment "Mini"'); return false;">edit</a>
</body>
</html>
应该能起作用。
各位,JavaScript中已经有unescape函数用于对\"进行反转义:
<script type="text/javascript">
var str="this is \"good\"";
document.write(unescape(str))
</script>
基本上,这是我做的方式:str.replace(/[\""]/g, '\\"')。
var display = document.getElementById('output');
var str = 'class="whatever-foo__input" id="node-key"';
display.innerHTML = str.replace(/[\""]/g, '\\"');
//will return class=\"whatever-foo__input\" id=\"node-key\"<span id="output"></span>问题在于HTML不认可转义字符。你可以通过在HTML属性中使用单引号,在onclick中使用双引号来解决这个问题。
<a href="#" onclick='DoEdit("Preliminary Assessment \"Mini\""); return false;'>edit</a>
如果你正在Java中组装HTML,你可以使用Apache commons-lang中的这个实用工具类,来正确地执行所有转义操作:
org.apache.commons.lang.StringEscapeUtils
可以为Java、JavaScript、HTML、XML和SQL转义和反转义字符串。
<tr>
<td>
<label class="control-label">
String Field:
</label>
<div class="inner-addon right-addon">
<input type="text" id="stringField"
name="stringField"
class="form-control"
autocomplete="off"
data-rule-required="true"
data-msg-required="Cannot be blank."
data-rule-commaSeparatedText="true"
data-msg-commaSeparatedText="Invalid comma separated value(s).">
</div>
</td>
JavaScript:
/**
*
* @param {type} param1
* @param {type} param2
* @param {type} param3
*/
jQuery.validator.addMethod('commaSeparatedText', function(value, element) {
if (value.length === 0) {
return true;
}
var expression = new RegExp("^((')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))(((,)|(,\\s))(')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))*$");
return expression.test(value);
}, 'Invalid comma separated string values.');
function escape(s) {
return ('' + s)
.replace(/\\/g, '\\\\')
.replace(/\t/g, '\\t')
.replace(/\n/g, '\\n')
.replace(/\u00A0/g, '\\u00A0')
.replace(/&/g, '\\x26')
.replace(/'/g, '\\x27')
.replace(/"/g, '\\x22')
.replace(/</g, '\\x3C')
.replace(/>/g, '\\x3E');
}
function unescape(s) {
s = ('' + s)
.replace(/\\x3E/g, '>')
.replace(/\\x3C/g, '<')
.replace(/\\x22/g, '"')
.replace(/\\x27/g, "'")
.replace(/\\x26/g, '&')
.replace(/\\u00A0/g, '\u00A0')
.replace(/\\n/g, '\n')
.replace(/\\t/g, '\t');
return s.replace(/\\\\/g, '\\');
}
我已经使用jQuery做了一个示例
var descr = 'test"inside"outside';
$(function(){
$("#div1").append('<a href="#" onclick="DoEdit(descr);">Click Me</a>');
});
function DoEdit(desc)
{
alert ( desc );
}
这在Internet Explorer和Firefox中都可以工作。
onclick事件的绑定方式改为不显眼的,并将所有数据库信息移入数据岛中是一个好主意。这样可以使代码更加清晰,当字符串转义出错时,还能获得某种语法错误提示。 - Justin Johnson