All escaping functions replace HTML reserved characters.

2012-01-14 14:46:15 -08:00 · 2012-01-14 14:46:15 -08:00 · 6e36b59a59
parent 30da7357e5
commit 6e36b59a59
4 changed files with 20 additions and 5 deletions
--- a/node/utils/ExportHtml.js
+++ b/node/utils/ExportHtml.js
@ -429,14 +429,15 @@ exports.getPadHTMLDocument = function (padId, revNum, noDocType, callback)

 function _escapeHTML(s)
 {
-  var re = /[&<>]/g;
+  var re = /[&"<>]/g;
  if (!re.MAP)
  {
    // persisted across function calls!
    re.MAP = {
      '&': '&amp;',
+      '"': '&quot;',
      '<': '&lt;',
-      '>': '&gt;',
+      '>': '&gt;'
    };
  }
  
--- a/static/js/ace2_common.js
+++ b/static/js/ace2_common.js
@ -142,7 +142,14 @@ function binarySearchInfinite(expectedLength, func)

 function htmlPrettyEscape(str)
 {
-  return str.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/\r?\n/g, '\\n');
+  return str.replace(/[&"<>]/g, function (c) {
+    return {
+      '&': '&amp;',
+      '"': '&quot;',
+      '<': '&lt;',
+      '>': '&gt;'
+    }[c] || c;
+  }).replace(/\r?\n/g, '\\n');
 }

 if (typeof exports !== "undefined")
--- a/static/js/domline.js
+++ b/static/js/domline.js
@ -229,7 +229,7 @@ domline.escapeHTML = function(s)
      '&': '&amp;',
      '<': '&lt;',
      '>': '&gt;',
-      '"': '&#34;',
+      '"': '&quot;',
      "'": '&#39;'
    };
  }
--- a/static/js/pad_utils.js
+++ b/static/js/pad_utils.js
@ -23,7 +23,14 @@
 var padutils = {
  escapeHtml: function(x)
  {
-    return String(x).replace(/\</g, '&lt;').replace(/\>/g, '&gt;');
+    return String(x).replace(/[&"<>]/g, function (c) {
+      return {
+        '&': '&amp;',
+        '"': '&quot;',
+        '<': '&lt;',
+        '>': '&gt;'
+      }[c] || c;
+    });
  },
  uniqueId: function()
  {