Как правильно экранировать html entities в JS?

Question

[vgray]

Добрый день,

Приведенный код выдает ошибку "Uncaught SyntaxError: missing ) after argument list" . Похоже JS разворачивает ' в кавычку и из-за этого все ломается. Как правильно экранировать кавычки и другие html entitles в js?

<html>
<head>
    <script>
        function clickme(str)
        {
            console.log(str);
        }  
    </script>
</head>

<body>
    <a onclick="return clickme('click &#039; 20');" href="#">Click</a>
</body>
</html>

Answer 1

[Дмитрий Шамонов]

Это делает не JS, а браузер. Ведь ты используешь html entity. Вот эта entity и преобразуется в текст.

А экранирование простое, как и везде:

<a onclick="return clickme('click \` 20');" href="#">Click</a>

Answer 2

[vgray]

спасибо, дополнительный вопрос.

Предположим, что в функцию clickme передается пользовательский текст, который дальше будет вставляться в html. Как в этом случае лучше экранировать параметры? чтобы избежать XSS ?

<html>
<head>
    <script>
        function clickme(str)
        {
            document.getElementById("div-id").innerHTML = str;    
        }  
    </script>
</head>
<body>
    <div id="div-id"></div>
    <br/>
    <a onclick="return clickme('click &#039; 20');" href="#">Click</a>
</body>
</html>

Comments

[Дмитрий Шамонов]

С помощью регулярного выражения вырезай script теги, вместе с содержимым.
А если хочешь оставить их, то вырезай экранирования.
Пример XSS

[dollar]

Негоже задавать "дополнительный вопрос" в секции для ответов. Странно, что модератор пропустил это, обычно удаляют.

Также заметил, что вы не помечаете хорошие ответы решениями. Так вы чуть уменьшаете количество потенциальных ответчиков. Неужели ни один из ответов среди всех ваших вопросов не решил соответствующую проблему?