Описание функции esc_js()
Функция esc_js() безопасно экранирует строки, чтобы предотвратить выполнение вредоносного кода в JavaScript. Она предназначена для использования в коде, который выводит данные в JavaScript и позволяет избежать XSS-уязвимостей.
Функция заменяет специальные символы на их HTML-сущности, обеспечивая безопасное использование строк в контексте JavaScript.
Параметры
$string
Тип: string
Обязательный: Да
Описание: Строка, которую нужно экранировать для использования в JavaScript
Возможные значения:
Возвращаемое значение
Тип: string
Описание: Экранированная строка, безопасная для использования в JavaScript
Возможные значения:
• Экранированная строка при успешном выполнении
• Пустая строка, если передан пустой аргумент
Примеры использования
Экранирование строки с потенциально опасным содержимым
$safe_string = esc_js('<script type="litespeed/javascript">alert("XSS")</script>');
// Вывод: <script>alert("XSS");</script>
Результат безопасен для использования в JavaScript
Экранирование строки, содержащей HTML-теги
$user_input = 'Hello, <b>World</b>!';
$safe_input = esc_js($user_input);
// Вывод: Hello, <b>World</b>!
HTML-теги будут экранированы для предотвращения XSS
Добавление инлайн-скрипта с безопасной строкой
wp_add_inline_script('my-script', 'alert("' . esc_js($user_input) . '");');
Используйте esc_js для защиты передаваемых данных
Безопасность
Валидация входных данных: Проверка на наличие пустых строк
Санитизация: Экранирование всех специальных символов
Рекомендации: Используйте esc_js перед выводом данных в JavaScript
— Связанные функции
Санитизация строк для безопасного использования в HTML
Санитизация строк для использования в HTML-атрибутах
— Примечания
– Ограничения
Не экранирует данные, которые не должны быть изменены в контексте JavaScript
– Частые проблемы
- Неправильное экранирование для специфических сценариев
- Проблемы с кодировкой, если данные содержат специальные символы
