我从一个数据库中输出值(它并不真正对公众开放,但它对公司的用户开放——这意味着,我不担心XSS)。
我试图输出一个这样的标签:
<a href="" onclick="DoEdit('DESCRIPTION');">Click Me</a>
DESCRIPTION实际上是一个来自数据库的值,它是这样的:
Prelim Assess "Mini" Report
我尝试用“\”替换“”,但无论我怎么尝试,Firefox总是在单词evaluate后的空格后面切断我的JavaScript调用,这导致了各种各样的问题。
我肯定错过了那个显而易见的答案,但我怎么也想不出来。
有人想指出我的愚蠢吗?
这里是整个HTML页面(它将是一个ASP。NET页面最终,但为了解决这个问题,我拿出了一切,但问题代码)
<html>
<body>
<a href="#" onclick="DoEdit('Preliminary Assessment \"Mini\"'); return false;">edit</a>
</body>
</html>
当前回答
可以使用escape()和unescape() jQuery方法。像下面,
使用转义(str);使用unescape(str_esc)转义字符串并再次恢复。
其他回答
各位,在JavaScript中已经有了unescape函数,它对\"进行了unescape:
<script type="text/javascript">
var str="this is \"good\"";
document.write(unescape(str))
</script>
<html>
<body>
<a href="#" onclick="DoEdit('Preliminary Assessment "Mini"'); return false;">edit</a>
</body>
</html>
应该能行。
你需要用双反斜杠转义引号。
这将失败(由PHP的json_encode产生):
<script>
var jsonString = '[{"key":"my \"value\" "}]';
var parsedJson = JSON.parse(jsonString);
</script>
如此:
<script>
var jsonString = '[{"key":"my \\"value\\" "}]';
var parsedJson = JSON.parse(jsonString);
</script>
我已经使用jQuery做了一个示例
var descr = 'test"inside"outside';
$(function(){
$("#div1").append('<a href="#" onclick="DoEdit(descr);">Click Me</a>');
});
function DoEdit(desc)
{
alert ( desc );
}
这在Internet Explorer和Firefox中都有效。
还可以转义空白。在我看来,Firefox假设了三个而不是一个参数。,是不间断空格字符。即使这不是问题的全部,它仍然可能是一个好主意。
