leo*_*ora 6 javascript jquery apostrophe double-quotes
我有以下代码:
var name = "Joe O'Neal";
var row= [];
row.push(
"<td><input type='hidden' name='milestones[" + id + "].Name'
value='" + name + "' class='currentRowName' />
<span class='currentRowNameText'>" + name + "</span></td>")
但问题是我有一个名称变量中有撇号的情况,所以它导致了这个问题:
value='" + name + "'
写这个的正确方法是什么,以避免与撇号发生冲突?在C#中,我会做类似的事情
value=\"" + name + "\"
但这似乎不适用于JavaScript
您要做的是清理您的输入.为此,您可以定义一个帮助器方法,用Unicode等效或HTML实体替换任何不安全的字符.这种东西不仅用于转义引号,还可以帮助防止像XSS攻击这样的事情.
以下内容改编自Tom Gruner关于使用jQuery转义HTML字符串的另一个问题的答案.
var entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
function escapeHtml(string) {
return String(string).replace(/[&<>"'\/]/g, function (s) {
return entityMap[s];
});
}
然后使用它,您将执行以下操作:
var name = "Joe O'Neal";
var safe_name = escapeHtml(name);
var row= [];
row.push(
"<td><input type='hidden' name='milestones[" + id + "].Name'
value='" + safe_name + "' class='currentRowName' />
<span class='currentRowNameText'>" + safe_name + "</span></td>");
如果您发现自己这么做了,那么可能是时候开始使用可以自动执行此操作的模板库了.我推荐并发现有用的一个模板库是Google Closure模板.它是一个企业级模板库,默认情况下会清理您的HTML.
有关Closure模板如何帮助保护您的更多信息,您可以查看他们的安全页面.
| 归档时间: |
|
| 查看次数: |
7756 次 |
| 最近记录: |