使用Spring在HTML中转义撇号

Question

我在一些遗留代码中有错误，在尝试修复它时，我发现了一个我不理解的行为。 该应用程序是一个使用JSP和JSTL的Spring MVC应用程序。 以下是再现我正在谈论的行为的简化示例。 我的控制器的代码是：

@GetMapping("/users/thing")
public ModelAndView thing() {

    ModelAndView model = new ModelAndView("users/thing");
    String stringWithApostrophe = "Any'String";
    String escapedWithHtmlUtils = HtmlUtils.htmlEscape(stringWithApostrophe);

    model.addObject("stringWithApostrophe", stringWithApostrophe);
    model.addObject("escapedWithHtmlUtils", escapedWithHtmlUtils);
    return model;
}

变量stringWithApostrophe有一个撇号字符，然后我将其转义并将转义值存储在其他变量中。 之后，我将它们都添加到模型中。

我的观点是这样的：

<p><a onClick="clicked('${stringWithApostrophe}');" href="#">stringWithApostrophe: ${stringWithApostrophe}</a></p>
<p><a onClick="clicked('${escapedWithHtmlUtils}');" href="#">escapedWithHtmlUtils: ${escapedWithHtmlUtils}</a></p>

<script type="text/javascript">
    function clicked(text){
        console.log(text);
    }
</script>

如果我在浏览器中按CTRL+U查看页面的来源，我会看到以下内容：

<p><a onClick="clicked('Any'String');" href="#">stringWithApostrophe: Any'String</a></p>
<p><a onClick="clicked('Any&#39;String');" href="#">escapedWithHtmlUtils: Any&#39;String</a></p>

...看起来不错，并呈现如下：

......这也是我的期望。 当我单击第一个链接时，它也会按预期失败，浏览器控制台会Syntax error: missing ) after argument list显示错误消息Syntax error: missing ) after argument list因为未转义的撇号打破了javascript代码。

但是，尽管我希望第二个链接起作用， 但它也会失败，并显示相同的错误消息 。 为什么会这样？ 我无法理解，撇号被转换为CTRL+U显示的html实体，因此它不应该破坏javascript。 我一直在互联网上寻找可能的原因，但一无所获。 我错过了什么？

更新 ：我已经上传了我用来向Github重现错误的示例项目 ，以防它有用。

Answer 1

正如你的问题中所提到的，撇号被HtmlUtils类成功转换为HTML实体引用，以成为' 。 您所描述的行为正在发生，因为HTML解析器在将内容传递给JavaScript引擎之前解析属性值中的实体引用。 在实体onclick(...)因此语句解码为原始字符' ，如下图所示。

onClick="clicked('Any'String');" => onClick="clicked('Any'String');" 。

因此，对于JS引擎，两个onClick(...)语句是等价的。

有关该问题的更多信息，请参阅此相关讨论讨论。