JavaScript에서 따옴표를 이스케이프 처리

데이터베이스에서 값을 출력하고 있습니다 (실제 공개 공개는 아니지만 회사의 사용자가 공개 할 수 있습니다-즉, XSS 에 대해 걱정하지 않습니다 ).

다음과 같은 태그를 출력하려고합니다.

<a href="" onclick="DoEdit('DESCRIPTION');">Click Me</a>

DESCRIPTION은 실제로 다음과 같은 데이터베이스의 값입니다.

Prelim Assess "Mini" Report

"를 \"로 바꾸려고했지만 아무리 노력해도 Firefox는 Assess 라는 단어 뒤에 공백이 있으면 JavaScript 호출이 계속 끊어 지므로 모든 종류의 문제가 발생합니다.

나는 분명한 답을 그리워해야하지만 내 인생에서 나는 그것을 알아낼 수 없다.

내 바보를 지적하는 사람이 있습니까?

여기에 전체 HTML 페이지가 있습니다 ( ASP.NET 페이지가 될 것입니다. 그러나이 문제를 해결하기 위해 문제 코드 이외의 다른 것을 모두 제거했습니다)

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment \"Mini\"'); return false;">edit</a>
    </body>
</html>

DoEdit큰 따옴표 문자를 제거하려면 쓰고있는 문자열을 이스케이프해야합니다 . 그들은 일으키는 onclickHTML 속성이 조기에 종료 할 수 있습니다.

\HTML 컨텍스트 에서는 JavaScript 이스케이프 문자을 사용하는 것만으로는 충분하지 않습니다. 큰 따옴표를 적절한 XML 엔터티 표현으로 바꿔야합니다 ".

" HTML 컨텍스트 때문에 나에게 제안한 것처럼이 특별한 경우에 작동합니다.

당신이 당신의 자바 스크립트 코드를 독립적으로 문맥 이스케이프하려는 경우, 당신은 네이티브 자바 스크립트 인코딩을 선택할 수 있습니다 :
'하게 \x27
"된다\x22

따라서 onclick은 다음과 같습니다.
DoEdit('Preliminary Assessment \x22Mini\x22');

예를 들어 JavaScript 문자열을 매개 변수로 다른 JavaScript 메서드에 전달할 때도 작동합니다 (이것은 alert()쉬운 테스트 방법입니다).

중복 스택 오버플로 질문, onClick 처리기 내부의 JavaScript 코드 내에서 문자열을 이스케이프 처리하려면 어떻게합니까? .

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment &quot;Mini&quot;'); return false;">edit</a>
    </body>
</html>

트릭을해야합니다.

여러분, 이미 unescapeJavaScript에서 이스케이프 처리를하지 않는 함수가 있습니다 \":

<script type="text/javascript">
    var str="this is \"good\"";
    document.write(unescape(str))
</script>

문제는 HTML이 이스케이프 문자를 인식하지 못한다는 것입니다. HTML 속성에 작은 따옴표를 사용하고 onclick에 큰 따옴표를 사용하면이 문제를 해결할 수 있습니다.

<a href="#" onclick='DoEdit("Preliminary Assessment \"Mini\""); return false;'>edit</a>

이것이 기본적으로 내가하는 방법 str.replace(/[\""]/g, '\\"')입니다.

var display = document.getElementById('output');
var str = 'class="whatever-foo__input" id="node-key"';
display.innerHTML = str.replace(/[\""]/g, '\\"');

//will return class=\"whatever-foo__input\" id=\"node-key\"

<span id="output"></span>

Java로 HTML을 어셈블하는 경우 Apache commons-lang의 멋진 유틸리티 클래스를 사용하여 모든 이스케이프를 올바르게 수행 할 수 있습니다.

org.apache.commons.lang.StringEscapeUtils
Java, Java Script, HTML, XML 및 SQL 용 문자열을 이스케이프 및 이스케이프 해제합니다.

jQuery를 사용하여 샘플을 수행했습니다.

var descr = 'test"inside"outside';
$(function(){
   $("#div1").append('<a href="#" onclick="DoEdit(descr);">Click Me</a>');       
});

function DoEdit(desc)
{
    alert ( desc );
}

그리고 이것은 Internet Explorer와 Firefox에서 작동합니다.

이 두 함수 (아래에 나열된)를 복사하여 모든 따옴표와 특수 문자를 이스케이프 / 이스케이프 해제 할 수 있습니다. 이를 위해 jQuery 또는 다른 라이브러리를 사용할 필요가 없습니다.

function escape(s) {
    return ('' + s)
        .replace(/\\/g, '\\\\')
        .replace(/\t/g, '\\t')
        .replace(/\n/g, '\\n')
        .replace(/\u00A0/g, '\\u00A0')
        .replace(/&/g, '\\x26')
        .replace(/'/g, '\\x27')
        .replace(/"/g, '\\x22')
        .replace(/</g, '\\x3C')
        .replace(/>/g, '\\x3E');
}

function unescape(s) {
    s = ('' + s)
       .replace(/\\x3E/g, '>')
       .replace(/\\x3C/g, '<')
       .replace(/\\x22/g, '"')
       .replace(/\\x27/g, "'")
       .replace(/\\x26/g, '&')
       .replace(/\\u00A0/g, '\u00A0')
       .replace(/\\n/g, '\n')
       .replace(/\\t/g, '\t');

    return s.replace(/\\\\/g, '\\');
}

아래 코드에서 정규 표현식을 사용하여 입력 한 문자열의 일부로 작은 따옴표를 이스케이프하십시오. 사용자가 입력 한 문자열이 쉼표로 구분되어 있는지 확인하고 동시에 문자열의 일부로 입력 된 작은 따옴표도 이스케이프합니다.

작은 따옴표를 이스케이프하려면 백 슬래시와 문자열의 일부로 \ ' 와 같은 작은 따옴표를 입력하십시오 . 이 예제에서는 jQuery 유효성 검사기를 사용했으며 편의에 따라 사용할 수 있습니다.

유효한 문자열 예 :

'여보세요'

'안녕하세요', '세계'

'안녕하세요', '세계'

'안녕하세요', '세계', ''

'내 세상이야.', '나 없이는 이것을 즐길 수 없다.', '환영합니다'

HTML :

<tr>
    <td>
        <label class="control-label">
            String Field:
        </label>
        <div class="inner-addon right-addon">
            <input type="text" id="stringField"
                   name="stringField"
                   class="form-control"
                   autocomplete="off"
                   data-rule-required="true"
                   data-msg-required="Cannot be blank."
                   data-rule-commaSeparatedText="true"
                   data-msg-commaSeparatedText="Invalid comma separated value(s).">
        </div>
    </td>

자바 스크립트 :

     /**
 *
 * @param {type} param1
 * @param {type} param2
 * @param {type} param3
 */
jQuery.validator.addMethod('commaSeparatedText', function(value, element) {

    if (value.length === 0) {
        return true;
    }
    var expression = new RegExp("^((')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))(((,)|(,\\s))(')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))*$");
    return expression.test(value);
}, 'Invalid comma separated string values.');

공백도 피하십시오. 파이어 폭스가 하나가 아닌 세 가지 주장을 가정하는 것처럼 들립니다.  비 공백 공백 문자입니다. 전체 문제가 아니더라도 여전히 좋은 생각 일 수 있습니다.

이중 백 슬래시로 따옴표를 이스케이프해야합니다.

이것은 실패합니다 (PHP의 json_encode에 의해 생성됨 ).

<script>
  var jsonString = '[{"key":"my \"value\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

이것은 작동합니다 :

<script>
  var jsonString = '[{"key":"my \\"value\\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

escape () 및 unescape () jQuery 메소드를 사용할 수 있습니다. 아래와 같이

escape(str);문자열을 이스케이프하고를 사용 하여 다시 복구하는 데 사용하십시오 unescape(str_esc);.