Ho difficoltà a capire come funziona l'escaping all'interno dei valori degli attributi del tag html che sono javascript. .escaping all'interno del valore dell'attributo tag html
ero portato a credere che si dovrebbe sempre sfuggire & ' "<> Così, per JavaScript come un valore di attributo ho provato:
<a href="javascript:alert('Hello');"></a>
Non funziona però:.
<a href="javascript:alert('Hello');"></a>
e
<a href="javascript:alert('Hello');"></a>
funziona in tutti i browser!
Ora sono totalmente confuso. Se tutti i miei valori di attributo sono racchiusi tra virgolette, vuol dire che non devo sfuggire alle virgolette singole? O è apos and ascii 39 personaggi tecnicamente diversi? Tale che javascript richiede ASCII 39, ma non apos?
OK, ho appena scoperto che ' non è in realtà un'entità di riferimento in HTML, nonostante ciò che dicono w3schools (http://www.w3.org/TR/1998/REC-html40-19980424/sgml/entities.html) – Myforwik
Penso che ''' sia ben definito da [HTML 5.0] (https://www.w3.org/TR/html50/syntax.html#named-character-references). –