htmlタグの属性値の中でエスケープする

Question

javascriptであるhtmlタグの属性値の中でどのようにエスケープするかを理解できない。

私が試した属性値としてjavascriptのためのだから私はあなたが常に&をエスケープする必要があることを信じるにつながる」」<>だった：それは動作しません

<a href="javascript:alert(&apos;Hello&apos;);"></a> 

しかし：。

<a href="javascript:alert(&#39;Hello&#39;);"></a> 

。

と

<a href="javascript:alert('Hello');"></a> 

は、すべてのブラウザでの作業を行います！

今私は完全に混乱しています。すべての属性値が二重引用符で囲まれていれば、一重引用符をエスケープする必要はありませんか？または、aposとasciiは技術的に異なるキャラクターですか？そのようなjavascriptはascii 39が必要ですが、aposではありませんか？

Answer 1

HTMLとJavaScriptの2種類の「エスケープ」があります。 HTML文書を解釈する場合、HTMLエスケープが最初に解析されます。

は限りHTMLが考慮されるように、属性値内のルールは、他の場所でも1つのルールと同じです。

• 満たない文字<をエスケープする必要があります。これには通常<が使用されます。技術的には、HTMLのバージョンによっては、エスケープ処理が必ずしも必要というわけではありませんが、これは常に良い方法です。
• アンパサンド&はエスケープする必要があります。これには通常&が使用されます。これも必ずしも必須ではありませんが、必要なときに覚えて覚えておくよりも簡単に行う方が簡単です。
• 属性値の区切り文字として使用される文字は、その内部でエスケープする必要があります。 Ascii引用符"を区切り文字として使用する場合は、"を使用してその出現をエスケープするのが通例ですが、Asciiアポストロフィの場合は、エンティティ参照'が一部のHTMLバージョンでのみ定義されていますので、数字参照''）。

好きなだけ>（または他のデータ文字）をエスケープできますが、決して必要ありません。

文字列リテラルには、いくつかのエスケープメカニズム（\）があります。しかし、これらは別の問題であり、あなたの場合は関係ありません。

この例では、現在の仕様に準拠しているブラウザでは、JavaScriptインタプリタに全く同じコードalert('Hello');が表示されます。ブラウザは「エスケープされていません」'または'〜'です。私は幾分驚いていましたが、最近では'は普遍的にサポートされていませんが、問題はありません。そのデリミタ）、存在する場合は'参照を使用できます。

Answer 2

タグが二重引用符で囲まれている場合は、一重引用符をエスケープする必要はありません。私がタグ（これはまれにjQueryでまれです）にJavaScriptのコードを記述すると、エスケープする唯一の文字は二重引用符で、ブラウザは残りの部分をうまく処理します。

Answer 3

'は無効ですHTML reference entityです。 '