LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ken1math

HTML属性とJavaScript内のクォートエスケープでつまずいた話

Posted at

最近つまづいたことをChatGPTさんにまとめてもらいました。

はじめに

Web開発において、HTML属性やJavaScriptのコード内で特定の文字(特にクォートや特殊文字)を適切にエスケープすることは非常に重要です。動的に生成したJavaScriptコードやHTMLを使用する際に、エスケープが必要になる場面が多々あります。

本記事では、シングルクォート(')ダブルクォート(") のエスケープ方法について、HTML属性内とJavaScript内での処理方法を説明します。

1. HTML内でエスケープしなくてよい場合

基本的に、HTMLタグのコンテンツ部分においてはエスケープを気にしなくても問題ないことが多いです。特に、<li>タグや<div>タグなどの通常のHTMLタグの中では、クォートをそのまま含めることができます。

例:<li>タグ内

<ul>
  <li class="sendJson" data-json="{'name': 'John', 'age': '30'}">Item 1</li>
  <li class="sendJson" data-json="{'name': 'Jane', 'age': '25'}">Item 2</li>
</ul>

この場合、<li>タグ内のdata-json属性はそのまま動作します。属性値としての'(シングルクォート)は、HTMLでは特に問題なく動作しますので、エスケープする必要はありません。

2. HTML属性内でエスケープが必要な場合

HTML属性(例: <a href="...">)内で文字列にクォートを含む場合、適切にエスケープしないと構文エラーや予期しない動作が発生する可能性があります。ここでは、クォートをエスケープする方法について説明します。

  • ダブルクォート(")&quot;を使用してエスケープ
  • シングルクォート(')&#39;を使用してエスケープ

例:HTML属性にエスケープした文字列を挿入する

let jsonString = `{"name": "John", "age": "30"}`;

// ダブルクォートをエスケープ
jsonString = jsonString.replace(/"/g, "&quot;");

// シングルクォートをエスケープ
jsonString = jsonString.replace(/'/g, "&#39;");

// エスケープしたjsonStringを<a>タグのhrefに渡す
document.getElementById("myLink").setAttribute("href", `javascript: handleClick('${jsonString}');`);

3. JavaScript内でのエスケープ

JavaScript内で文字列にクォートを含む場合もエスケープが必要です。特に、文字列内でシングルクォート(')ダブルクォート(") を使用する場合には、バックスラッシュ(\)でエスケープします。

  • ダブルクォート(")\でエスケープ
  • シングルクォート(')\でエスケープ

例:JavaScript内でエスケープ

let jsonString = `{"name": "John", "age": "30"}`;

// ダブルクォートをエスケープ
jsonString = jsonString.replace(/"/g, '\\"');

// シングルクォートをエスケープ
jsonString = jsonString.replace(/'/g, "\\'");

// エスケープしたjsonStringをJavaScript関数に渡す
handleClick(jsonString);

4. replace()メソッドについて

replace()メソッドを使用して文字列のエスケープを行う際、正規表現 を用いて置換を行います。replace()メソッドはデフォルトで最初の一致部分しか置換しませんが、gフラグ(グローバル検索)をつけることで文字列内のすべての一致部分を置換できます。

let text = 'This is "quote" and \'single quote\'';
text = text.replace(/"/g, '&quot;'); // ダブルクォートをエスケープ
text = text.replace(/'/g, '&#39;'); // シングルクォートをエスケープ
console.log(text);  // 出力: This is &quot;quote&quot; and &#39;single quote&#39;

5. 実践例

動的に生成した文字列をHTML属性に挿入する際の実践的な例を示します。

let jsonString = `{"name": "John", "age": "30"}`;

// エスケープ処理
jsonString = jsonString.replace(/"/g, "&quot;");
jsonString = jsonString.replace(/'/g, "&#39;");

// <a>タグのhref属性に設定
let link = `<a href="javascript: handleClick('${jsonString}');">発行</a>`;
document.getElementById("container").innerHTML = link;

このように、文字列を適切にエスケープしてHTML属性やJavaScriptで使うことで、構文エラーを回避し、正しく動作するコードを作成できます。

javascript: プロトコルを直接 href 属性に設定する手法は、近年のセキュリティやアクセシビリティの観点からは推奨されない場合がある。代わりに、イベントハンドラを利用するなどの方法を使うとよいみたい。

まとめ

  • HTML属性内でクォートを含む場合は、ダブルクォート")は&quot;シングルクォート')は&#39;でエスケープします。
  • JavaScript内でクォートを含む場合は、バックスラッシュ(\ でエスケープします。
  • 文字列を動的に扱う際には、replace() メソッドを使ってエスケープ処理を行うことが重要です。

これらのエスケープ処理を適切に行うことで、予期しないエラーを防ぎ、正常に動作するコードを作成できます。

さきに<li>内でなんとなくできてしまったあとに、<a href="...">内でつまづきました。最初に<a href="...">からやってたら、たぶんもっと早く気づいたんだろなあ。他の部分が悪さしてるのかと思って他を入念に調べちゃった。

0
0
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?