JavaScriptとしてのエスケープ

JavaScriptの文字列は、

"●●●●●●●●●●●●●●"
あるいは
'●●●●●●●●●●●●●●'

であるので、引用符(「'」および「"」)と、エスケープに使用する文字「\」の三種類が必要最低限のエスケープ対象となる。
金床さんは、改行文字(0x0dと0x0a)もエスケープ対象としているが、これはちと議論の分かれるところである。なぜなら、

• 改行文字が現れることの妥当性
• HTML中では改行は無視されるので、エスケープしてもあまり意味がない

改行を含む文字列の場合、
などのレンダリングを施すべきではないか。レンダリングしない場合は、すなわち改行が入るはずがないということで、改行を含むコントロールコードは、エラーにしたいところだ(ただし要求仕様に依存する)。
金床さんは、これら以外に「/」「<」「>」のエスケープを正解としているが、これは明らかにJavaScriptの要求するエスケープではないので、次節にて検討する。

HTMLとしてのエスケープ

次に、HTMLとしてのエスケープを施す必要がある。これは、スクリプトの置かれる場所によって、以下の二種類の処理に分かれる。

• イベントハンドラの場合
• <SCRIPT>タグ内の場合

以下順に検討しよう。

まとめ

JavaScriptを動的生成する場合における文字列リテラルのエスケープについて検討した。HTMLとJavaScriptは異なる文法を持っているので、両者を意識して二段階のエスケープが必要となる。まず、JavaScriptについては(最低)引用符(「'」および「"」)と、「\」、「/」の四種類に対するエスケープを行う。加えて、イベントハンドラにおかれる場合はHTMLとしてのエスケープ(文字参照)を実施する。
ただ、冒頭に書いたように、上記はエスケープに対するモデルとして検討したのであって、現実の開発においてはJavaScriptの動的生成をせず、hidden field値を参照するべきである。

追記

　JavaScriptの文法で、「/」に対するエスケープが認められていたっけと思い色々調べた範囲では、「/」に対するエスケープ法の記述は見当たらなかった。現実のブラウザ(IE, Firefox, Opera)では、期待通り動作するもののちと気持ちが悪い。W3CのHTML4.01仕様でも「/」のJavaScrpitエスケープを「\/」とするように書いているが、博雅の士のご教授を請いたい。