如何在JavaScript中定義可包含任何字符的字符串？

Question

儘管我在JavaScript中使用Salesforce變量，但無需知道Salesforce來回答我的問題。有一個我想訪問的密碼字段。我可以使用Salesforce的變量，{!Account.Password__c}做到這一點，我的JavaScript裏面像這樣：

var p = '{!Account.Password__c}'; 

我一直在使用這種很長一段時間，但也有一些情況下，它不能正常工作。唯一的問題是密碼可能包含任何字符（作爲一個好的密碼應該）。所以如果它包含一個單引號，那麼這個JavaScript將不會運行。我可以用雙引號將它寫出：

var p = "{!Account.Password__c}"; 

但它也可以包含雙引號。它也可能包含正斜槓和/或反斜槓。

密碼字符串需要能夠採取任何這些：
Idon'tknow
pass"word"
/-\_|)_/-\_/\/\
"'!@#
+*co/rn

這是我的代碼：

var u = '{!Account.Email_Address__c}'; 
var p = escape(encodeURIComponent('{!Account.Password__c}')); 
window.open('http://mywebsite.com/?&u=' + u + '&p=' + p,'_blank'); 

Answer 1

您正在尋找的是JSENCODE功能。它會逃避引號，反斜槓和其他可能會擾亂你的Javascript字符串的東西。

var p = '{!JSENCODE(Account.Password__c)}'; 

如果你的Javascript是一種HTML標籤內（例如：在加入「onClick」屬性），然後使用JSINHTMLENCODE功能，這將HTML編碼字符<&>。

這些記錄在Visualforce Functions參考文獻中。

Answer 2

你的問題是逃跑。您可以反斜線字符串的任何字符 - 所以如果你有，比如說，owowow"'!thisishard作爲密碼，將其分配直線上升到一個JS變種，你可以這樣做：

var p = "owowow\"\'!thisishard"; 

與轉義交易。你做而不是如果你已經從另一個來源獲取變量（例如，通過element.value的文本元素），就需要這樣做。

這並不reove幾個問題：

1. 通過GET PARAMS傳遞密碼是對的事情不做OWASP準則相當高了。原因是除了通過常規手段可以窺探之外，它們還會顯示在服務器日誌中。
2. 你爲什麼要這樣做？