当构建HTML时，如何在JavaScript中正确支持撇号？

你想要做的是清理输入内容。为此，你可以定义一个帮助方法，用Unicode等效或HTML实体替换任何不安全的字符。这种方式不仅用于转义引号，还可以帮助防止像XSS攻击这样的问题。

短期解决方案

以下内容改编自Tom Gruner在另一个问题中的答案，该问题是关于使用jQuery转义HTML字符串的。

var entityMap = {
    "&": "&",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
};

function escapeHtml(string) {
    return String(string).replace(/[&<>"'\/]/g, function (s) {
        return entityMap[s];
    });
}

然后使用它，您可以执行以下操作：

var name = "Joe O'Neal";
var safe_name = escapeHtml(name);

var row= [];
row.push(
    "<td><input type='hidden' name='milestones[" + id + "].Name' 
    value='" + safe_name + "' class='currentRowName'  />
    <span class='currentRowNameText'>" + safe_name + "</span></td>");

长期解决方案

如果你经常这样做，那么现在可能是时候开始使用一个可以自动完成此操作的模板库了。我推荐并且觉得有用的一个模板库是Google Closure Templates。它是一个企业级的模板库，会（默认情况下）对你的HTML进行消毒处理。

关于Closure Templates如何帮助保护你的更多信息，你可以查看他们在security上的页面。

你可以引用字符：

var apostophe = '\''

或者，如果打算在HTML文档中使用，请使用HTML实体：

var apostrophe = ''';
var apostrophe = ''';

或者使用Unicode：

var apostrophe = '\u0027';

那么您可以执行以下操作：

var name = 'O\u0027Neal';
el.innerHTML = '<input value="' + name + '">';

使用正则表达式和replace函数将字符映射到上述实体或Unicode值相对简单。