js字符串中出现任何< >标签都可以,就是不能出现</script>标签。
例如:
<script>
var t="</script>";
</script>
这里会出错。必须escapeHTML掉。
对于:
<script>
var t="$stringescapeutil.escapeJavascript($order.memo)";
</script>
无论如何要escapeJavascript过滤掉单引号。如果memo中可能有</script>标签,那么还需要escapeHTML,否则就可以不用,当然使用tb-velocity就不需要自己调用escapeHTML了。