Échapper les citations en JavaScript

Je génère des valeurs à partir d'une base de données (elle n'est pas vraiment ouverte à l'entrée publique, mais elle est ouverte à l'entrée par un utilisateur de l'entreprise - ce qui signifie que je ne m'inquiète pas pour XSS ).

J'essaie de sortir une balise comme celle-ci:

<a href="" onclick="DoEdit('DESCRIPTION');">Click Me</a>

DESCRIPTION est en fait une valeur de la base de données qui ressemble à ceci:

Prelim Assess "Mini" Report

J'ai essayé de remplacer "par \", mais peu importe ce que j'essaye, Firefox continue de couper mon appel JavaScript après l'espace après le mot évaluer , et cela provoque toutes sortes de problèmes.

Je dois rejeter la réponse évidente, mais pour la vie de moi, je ne peux pas le comprendre.

Quelqu'un veut-il souligner mon idiotie?

Voici la page HTML entière (ce sera finalement une page ASP.NET , mais pour résoudre ce problème, j'ai retiré tout le reste sauf le code du problème)

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment \"Mini\"'); return false;">edit</a>
    </body>
</html>

Vous devez échapper la chaîne dans laquelle vous écrivez DoEditpour effacer les caractères entre guillemets. Ils provoquent la onclickfermeture prématurée de l'attribut HTML.

L'utilisation du caractère d'échappement JavaScript \, n'est pas suffisante dans le contexte HTML. Vous devez remplacer le guillemet avec la représentation d' une entité XML appropriée, ".

" fonctionnerait dans ce cas particulier, comme suggéré avant moi, en raison du contexte HTML.

Cependant, si vous souhaitez que votre code JavaScript soit échappé indépendamment pour n'importe quel contexte, vous pouvez opter pour le codage JavaScript natif:
'devient \x27
"devient\x22

Votre onclick deviendrait donc:
DoEdit('Preliminary Assessment \x22Mini\x22');

Cela fonctionnerait par exemple également lors du passage d'une chaîne JavaScript en tant que paramètre à une autre méthode JavaScript ( alert()c'est une méthode de test facile pour cela).

Je vous renvoie à la question de débordement de pile en double, comment puis-je échapper une chaîne dans le code JavaScript à l'intérieur d'un gestionnaire onClick? .

<html>
    <body>
        <a href="#" onclick="DoEdit('Preliminary Assessment &quot;Mini&quot;'); return false;">edit</a>
    </body>
</html>

Devrait faire l'affaire.

unescapeMes amis , il y a déjà la fonction en JavaScript qui fait l'échappatoire pour \":

<script type="text/javascript">
    var str="this is \"good\"";
    document.write(unescape(str))
</script>

Le problème est que HTML ne reconnaît pas le caractère d'échappement. Vous pouvez contourner cela en utilisant les guillemets simples pour l'attribut HTML et les guillemets doubles pour le onclick.

<a href="#" onclick='DoEdit("Preliminary Assessment \"Mini\""); return false;'>edit</a>

C'est comme ça que je fais, en gros str.replace(/[\""]/g, '\\"').

var display = document.getElementById('output');
var str = 'class="whatever-foo__input" id="node-key"';
display.innerHTML = str.replace(/[\""]/g, '\\"');

//will return class=\"whatever-foo__input\" id=\"node-key\"

<span id="output"></span>

Si vous assemblez le HTML en Java, vous pouvez utiliser cette jolie classe d'utilitaires d'Apache commons-lang pour faire tout l'échappement correctement:

org.apache.commons.lang.StringEscapeUtils
Échappe et échappe les chaînes pour Java, Java Script, HTML, XML et SQL.

J'ai fait un exemple en utilisant jQuery

var descr = 'test"inside"outside';
$(function(){
   $("#div1").append('<a href="#" onclick="DoEdit(descr);">Click Me</a>');       
});

function DoEdit(desc)
{
    alert ( desc );
}

Et cela fonctionne dans Internet Explorer et Firefox.

Vous pouvez copier ces deux fonctions (répertoriées ci-dessous) et les utiliser pour échapper / échapper toutes les guillemets et les caractères spéciaux. Vous n'avez pas besoin d'utiliser jQuery ou toute autre bibliothèque pour cela.

function escape(s) {
    return ('' + s)
        .replace(/\\/g, '\\\\')
        .replace(/\t/g, '\\t')
        .replace(/\n/g, '\\n')
        .replace(/\u00A0/g, '\\u00A0')
        .replace(/&/g, '\\x26')
        .replace(/'/g, '\\x27')
        .replace(/"/g, '\\x22')
        .replace(/</g, '\\x3C')
        .replace(/>/g, '\\x3E');
}

function unescape(s) {
    s = ('' + s)
       .replace(/\\x3E/g, '>')
       .replace(/\\x3C/g, '<')
       .replace(/\\x22/g, '"')
       .replace(/\\x27/g, "'")
       .replace(/\\x26/g, '&')
       .replace(/\\u00A0/g, '\u00A0')
       .replace(/\\n/g, '\n')
       .replace(/\\t/g, '\t');

    return s.replace(/\\\\/g, '\\');
}

Veuillez trouver dans le code ci-dessous qui échappe les guillemets simples dans le cadre de la chaîne entrée en utilisant une expression régulière. Il valide si la chaîne entrée par l'utilisateur est séparée par des virgules et en même temps, elle échappe même aux guillemets simples entrés dans le cadre de la chaîne.

Pour échapper aux guillemets simples, entrez simplement une barre oblique inverse suivie d'une guillemet simple comme: \ ' dans le cadre de la chaîne. J'ai utilisé le validateur jQuery pour cet exemple, et vous pouvez l'utiliser selon votre convenance.

Exemples de chaînes valides:

'Bonjour'

'Bonjour le monde'

'Bonjour le monde'

'Bonjour le monde',' '

"C'est mon monde", "Je ne peux pas profiter de cela sans moi.", "Bienvenue, invité"

HTML:

<tr>
    <td>
        <label class="control-label">
            String Field:
        </label>
        <div class="inner-addon right-addon">
            <input type="text" id="stringField"
                   name="stringField"
                   class="form-control"
                   autocomplete="off"
                   data-rule-required="true"
                   data-msg-required="Cannot be blank."
                   data-rule-commaSeparatedText="true"
                   data-msg-commaSeparatedText="Invalid comma separated value(s).">
        </div>
    </td>

JavaScript:

     /**
 *
 * @param {type} param1
 * @param {type} param2
 * @param {type} param3
 */
jQuery.validator.addMethod('commaSeparatedText', function(value, element) {

    if (value.length === 0) {
        return true;
    }
    var expression = new RegExp("^((')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))(((,)|(,\\s))(')([^\'\\\\]*(?:\\\\.[^\'\\\\])*)[\\w\\s,\\.\\-_\\[\\]\\)\\(]+([^\'\\\\]*(?:\\\\.[^\'\\\\])*)('))*$");
    return expression.test(value);
}, 'Invalid comma separated string values.');

Échappez également aux espaces blancs. Il me semble que Firefox suppose trois arguments au lieu d'un.  est le caractère d'espace insécable. Même si ce n'est pas tout le problème, ce peut être une bonne idée.

Vous devez échapper aux guillemets avec des doubles barres obliques inverses.

Cela échoue (produit par json_encode de PHP ):

<script>
  var jsonString = '[{"key":"my \"value\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

Cela marche:

<script>
  var jsonString = '[{"key":"my \\"value\\" "}]';
  var parsedJson = JSON.parse(jsonString);
</script>

Vous pouvez utiliser les méthodes jQuery escape () et unescape (). Comme ci-dessous,

Utilisez escape(str);pour échapper à la chaîne et récupérer à nouveau en utilisant unescape(str_esc);.