darnley Jun 21 2010 at 12:50

Амперсанды в строковых константах

1 min

4.3K

JavaScript*

+12

Comments 29

UFO landed and left these words here

lexa0 Jun 21 2010 at 20:05

Неправильный вывод. это ведь не уязвимость просто поделки корпораций как обычно работают через одно место, а свободный огнелис показывает верные результаты.

tagir_valeev Jun 21 2010 at 21:41

Что значит «верные»? В соответствии со стандартом? Стандарт DOM не включает innerHTML вообще.

taliban Jun 22 2010 at 12:58

Верно как раз через & делать, так что все в принципе работают верно, просто огнелис допускает быдлокод, что не есть хорошо с другой стороны

theOnlyBoy Jun 21 2010 at 13:19

Вы меняете innerHTML. Для строковых переменных амперсанд нужно использовать в исходном виде, если после хотите увидеть там тот же амперсанд.

galaxy Jun 21 2010 at 13:20

Ога, вперед:

document.location.href = "http://www.google.ru/search?hl=ru&amp;q=javascript";

Перед литеральным выводом в HTML (через document.write или innerHTML) — да, имеет смысл

general Jun 21 2010 at 13:27

Когда я вижу «document.body.innerHTML +=» у меня начинает дергаться глаз.

UFO landed and left these words here

isapioff Jun 21 2010 at 13:46

вообще, это все замечательно инкапсулируется в соответствующие утилитарные функции с применением encodeURI и encodeURIComponent

BAHO Jun 21 2010 at 15:55

Первый нормальный комментарий по теме.

Disturbed Jun 21 2010 at 14:04

Угу, а теперь попробуйте так же заэкронировать амперсанды, скажем, в AJAX-запросе ;)
Уточняйте, пожалуйста, юз-кейсы.

Disturbed Jun 21 2010 at 14:04

*заэкранировать (:

BiSeTrojanov Jun 21 2010 at 20:02

В Опере как в Fx

Denai Jun 22 2010 at 00:49

Тут как я понял не о крутости браузеров спорят, а намекают о том что всё всегда надо проверять и часто задумываться, иначе проколешься на мелочи

tagir_valeev Jun 21 2010 at 21:22

Вы не умеете пользоваться DOM. Ничего не надо экранировать.
document.body.appendChild(document.createTextNode("http://example.org/get.php?test&ok&wonderful"))

tenshi Jun 22 2010 at 02:25

слишком громоздко

tagir_valeev Jun 22 2010 at 05:47

Используйте jQuery, там красивее :-)
$('body').text("http://example.org/get.php?test&ok&wonderful")
Суть-то в том, что автор подсовывал браузеру non-well-formed HTML (с незакрытым character entity), говоря про текст. То что стандарты не предписывают, как вести себя в таких случаях, и браузеры ведут себя по-разному — общеизвестный факт.

seriyPS Jun 21 2010 at 23:39

Если XSLT в качестве шаблонизатора, то он вывалится если не экранировать.

lashtal Jun 22 2010 at 01:08

Если скрипт заключен в CDATA, экранировать не надо, поскольку амперсанды там не парсятся как начало HTML entity.

ps. жалею что не хватает кармы на создание топика типа «уважаемые php программисты, экранируйте все переменные, передающиеся в запрос», или «уважаемые верстальщики, проставляйте доктайп»… :)

tagir_valeev Jun 22 2010 at 22:44

Однако пишем:

<body> </body> <script> var a; a = "http://example.org/get.php?test"; a += "&ok"; a += "&wonderful"; alert(a); </script>

Во всех браузерах результат одинаковый: выдаётся сообщение
http://example.org/get.php?test&ok&wonderful
Дело не в парсинге JS-скрипта, а в том, что этот скрипт криво модифицирует DOM-модель.

Если я неправ, приведите, пожалуйста, полный текст исправленного документа с использованием CDATA, который будет давать одинаковый результат в разных браузерах.

hulinada Jun 22 2010 at 01:32

Я, как верстальщик, писал через amp только потому, что валидатор ругается =)

velezh Jun 23 2010 at 01:08

В идеале моск должен ругаться раньше валидатора…

Wott Jun 22 2010 at 01:52

Экранирование зависит от контекста

SowingSadness Jun 22 2010 at 02:10

Эм. Народ.
Может еще о более мелких проблемах будем писать на Хабре?
Мол 'a' !== 'а'
…
Короче бред

garex Jun 22 2010 at 16:16

А никто ведь не сказал самого интересного — WTF оно так себя ведёт? И от чего это зависит полным списком — доктайп, цэдата и прочее.

TEHEK Jun 22 2010 at 21:56

Да нет, вот lany сказал выше

Вообще, по стандарту URL тоже должен быть «проамперсанжен» =)

TEHEK Jun 22 2010 at 21:57

в смысле URL в href тэга < a > :)

tagir_valeev Jun 22 2010 at 22:34

Вообще, во-первых, следует помнить, что innerHTML — это не просто поле, а свойство. То есть записав туда что-то и тут же считав, мы можем не получить то, что записали. То есть += действует примерно как setInnerHTML(getInnerHTML()+"...").
Чтение из innerHTML всегда должно возвращать well-formed HTML (исходя из здравого смысла, а не из стандарта, которого нет). Так как на вход ему подсовывают не well-formed, то браузеры пытаются интерпретировать его по-разному. Моё предположение, что Firefox интерпретирует &ok как ошибочно незаэкранированный амперсанд и добавляет экранирование сам, а Chrome интерпретирует, как незакрытый character-entity, мысленно дописывает в конец точку с запятой, после чего замечает, что character-entity &ok; не существует вообще и выкидывает его из результата.