jru*_*ter 4 javascript string jsp escaping
我完全坚持这个,我试图逃避JSP中的单引号.我有一些数据,我直接输出到JS字符串,单引号似乎导致问题.
这是我的代码:
<dsp:droplet name="/atg/dynamo/droplet/ForEach">
<dsp:param value="${CommerceItems}" name="array" />
<dsp:param name="elementName" value="CommerceItem" />
<dsp:oparam name="outputStart">
var itemNameList ='
</dsp:oparam>
<dsp:oparam name="output">
<dsp:getvalueof id="Desc" param="CommerceItem.auxiliaryData.productRef.displayName">
${fn:replace(Desc, "'", "\\/'")}
</dsp:getvalueof>
</dsp:oparam>
<dsp:oparam name="outputEnd">';</dsp:oparam>
</dsp:droplet>
这是我得到的输出:
var itemNameList ='
Weyland Estate Santa Barbara Pinot Noir
Raymond \/'Prodigal\/' North Coast Cabernet Sauvignon
Chateau Haute Tuque';
但这是错误的,我只需要/'Prodigal'/或根本不需要单引号!
编辑:或者我实际上需要用\反斜杠来逃避引号?
Bal*_*usC 16
正斜杠不是逃避字符.这是反斜杠.
${fn:replace(Desc, "'", "\\'")}
(是的,它已被呈现两次,因为它也是 Java中的转义字符!)
但是,你不要只需要repace '的\',你还需要更换\n由(新行)\\n.字符串被打印在多行上,这使得它也是一个无效的JS字符串变量.你的最终结果必须基本如下:
var itemNameList = ''
+ '\nWeyland Estate Santa Barbara Pinot Noir'
+ '\nRaymond \'Prodigal\' North Coast Cabernet Sauvignon'
+ '\nChateau Haute Tuque';
(请注意语法荧光笔在这里同意我但不在你的同意)
然而,有更多可能需要转义的特殊字符.它们都被Apache Commons Lang 所涵盖StringEscapeUtils#escapeEcmaScript().更简单的是创建一个自定义EL函数,它完全调用该方法.如果还没有完成,请下载并commons-lang.jar放入/WEB-INF/lib.然后创建/WEB-INF/functions.tld如下文件:
<?xml version="1.0" encoding="UTF-8" ?>
<taglib
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-jsptaglibrary_2_1.xsd"
version="2.1">
<display-name>Custom Functions</display-name>
<tlib-version>1.0</tlib-version>
<uri>http://example.com/functions</uri>
<function>
<name>escapeJS</name>
<function-class>org.apache.commons.lang3.StringEscapeUtils</function-class>
<function-signature>java.lang.String escapeEcmaScript(java.lang.String)</function-signature>
</function>
</taglib>
这样你就可以按如下方式使用它:
<%@taglib prefix="util" uri="http://example.com/functions" %>
...
${util:escapeJS(Desc)}