如何在 onClick 处理程序内的 JavaScript 代码中转义字符串？

在JavaScript中，您可以将单引号编码为"\x27"，将双引号编码为"\x22"。因此，使用这种方法，一旦您进入JavaScript字符串文字的（双引号或单引号）引号内部，就可以毫无顾虑地使用\x27 \x22，而不必担心任何嵌入式引号“突破”您的字符串。

\xXX用于字符< 127，\uXXXX用于Unicode，因此，掌握了这些知识，您可以为所有超出常规白名单的字符创建一个强大的JSEncode函数。

例如，

<a href="#" onclick="SelectSurveyItem('<% JSEncode(itemid) %>', '<% JSEncode(itemname) %>'); return false;">Select</a>

根据服务器端语言的不同，你可以使用以下其中之一：

.NET 4.0

string result = System.Web.HttpUtility.JavaScriptStringEncode("jsString")

Java

import org.apache.commons.lang.StringEscapeUtils;
...

String result = StringEscapeUtils.escapeJavaScript(jsString);

Python

import json
result = json.dumps(jsString)

PHP

$result = strtr($jsString, array('\\' => '\\\\', "'" => "\\'", '"' => '\\"', 
                                 "\r" => '\\r', "\n" => '\\n' ));

Ruby on Rails

<%= escape_javascript(jsString) %>

使用隐藏的span，针对每个参数<%itemid%>和<%itemname%>分别写入它们的值。
例如，<%itemid%>的span将如下所示：<span id='itemid' style='display:none'><%itemid%></span> 并在javascript函数 SelectSurveyItem 中从这些span的 innerHTML 中获取参数。

尽量避免在HTML中使用字符串文字，而是使用JavaScript绑定JavaScript事件。

此外，避免使用“href=#”，除非您真的知道自己在做什么。它会破坏对于强制中键点击者（标签页打开器）的许多可用性。

<a id="tehbutton" href="somewhereToGoWithoutWorkingJavascript.com">Select</a>

我选择的JavaScript库恰好是jQuery：

<script type="text/javascript">//<!-- <![CDATA[
jQuery(function($){
   $("#tehbutton").click(function(){
        SelectSurveyItem('<%itemid%>', '<%itemname%>');
        return false;
   });
});
//]]>--></script>

如果你需要渲染像这样的链接列表，你可能想要这样做：

<a id="link_1" href="foo">Bar</a>
<a id="link_2" href="foo2">Baz</a>

<script type="text/javascript">
   jQuery(function($){
        var l = [[1,'Bar'],[2,'Baz']];
        $(l).each(function(k,v){
           $("#link_" + v[0] ).click(function(){
                SelectSurveyItem(v[0],v[1]);
                return false;
           });
        });
   });
 </script>

如果要放到HTML属性中，您需要对其进行HTML编码（至少将>转换为>，<转换为<，"转换为"），并转义单引号（使用反斜杠），以便它们不会干扰JavaScript的引用。
最好的方法是使用您的模板系统（必要时进行扩展），但您可以简单地创建几个转义/编码函数，并将它们都包装在要输入的任何数据周围。
是的，即使HTML属性中包含JavaScript，HTML转义整个HTML属性的内容也是完全有效（正确的）。

另一个有趣的解决方案可能是这样的：

<a href="#" itemid="<%itemid%>" itemname="<%itemname%>" onclick="SelectSurveyItem(this.itemid, this.itemname); return false;">Select</a>

然后，您可以在变量上使用标准的HTML编码，而不必担心javascript引用的额外复杂性。

是的，这确实创建了严格无效的HTML。但是，这是一种有效的技术，所有现代浏览器都支持它。

如果是我的话，我可能会选择我的第一个建议，并确保值被HTML编码并且单引号被转义。

我也遇到过这个问题。我编写了一个脚本，将单引号转换为转义的双引号，以避免破坏 HTML。

function noQuote(text)
{
    var newtext = "";
    for (var i = 0; i < text.length; i++) {
        if (text[i] == "'") {
            newtext += "\"";
        }
        else {
            newtext += text[i];
        }
    }
    return newtext;
}

首先，如果将onclick处理程序设置为以下方式，那么它会更简单：

<a id="someLinkId"href="#">Select</a>
<script type="text/javascript">
  document.getElementById("someLinkId").onClick = 
   function() {
      SelectSurveyItem('<%itemid%>', '<%itemname%>'); return false;
    };

</script>

然后需要对itemid和itemname进行JavaScript转义（即"变为\"等）。

如果您在服务器端使用Java，可以查看来自Jakarta常见语言的StringEscapeUtils类。否则，编写自己的“escapeJavascript”方法不应该花费太长时间。

在部分声明单独的函数，并在onClick方法中调用它们。如果有很多函数，可以使用一个编号方案对它们进行命名，或者在函数中使用一个大而臃肿的switch语句，在onClick中传递一个整数参数。

使用Microsoft Anti-XSS库，其中包括JavaScript编码。