我试图自动将html转义字符串转换成json对象。simplejson有JSONEncoderForHTML，它应该正是这样做的。这就是它如何跳出html：

chunk = chunk.replace('&', '\\u0026')
chunk = chunk.replace('<', '\\u003c')
chunk = chunk.replace('>', '\\u003e')

1） 为什么它使用这些代码而不是cgi.escape使用的html编码？

即：

每一个都声明：

simplejson:要将JSON内容嵌入web页面上的脚本标记中，应转义字符&；、<；和gt。它们不能用通常的实体（例如&；）转义，因为它们没有在标记内展开。

在cgi.逃逸：将特殊字符“&；”、“<；”和“>；”替换为HTML安全序列。

2） 这里粗体部分的意思是什么？

除了不理解这里的区别之外，我的问题的核心是simplejson方法允许XSS发生，但是如果我进入它的html编码器并将replace调用更改为cgi.逃逸，没有XSS。在

给定此输入{'label': 'XSS HERE"><script>alert(1)</script>'}

以下是输出simplejson.encoder.jsonecoderforhtml公司名称：

{"label": "XSS HERE\"\u003e\u003cScript\u003eAlert(1);\u003c/Script\u003e"}

以下是输出simplejson.encoder.jsonecoderforhtml以及将replace中的代码改为&等，如前所述：

{"label": "XSS HERE\"><Script>Alert(1);</Script>"}

它用于从.js脚本（而不是html文件中的中间脚本）中自动完成，该脚本包含：

return $('<a/>').attr('href', result.url)
        .append($('<img>').attr('src', imageurl)
            .addClass(image_class)
            .after($('<span/>')
            .addClass(label_class).text(result.label)));

result.label是键'label'的值。在

3） 那么，为什么我会得到一个javascript警报，用simplejson方法显示1，而不是用cgi.逃逸逃逸？

像\\u003c这样的代码是否被解码并视为<字符？在

为了提供更多的上下文，我不必在我的web应用程序的每个JSON处理程序中都这样做，并且可能会忘记对某些内容进行转义：

response = {'A': Escape(a), 'B': Escape(b)} # with many more variables here
return json.dumps(response)

4） 是否有另一种方法可以自动转义html将在json中返回的内容？

像tornado.escape.recursive_unicode一样的对象递归遍历，但是使用转义？ 还有别的事吗？在

更新：这将发出警报，那么为什么要使用此方法进行逃逸？在

<div id="alert">a</div>
$("#alert").html("XSS HERE\"\u003e\u003cScript\u003ealert(1);\u003c/Script\u003e");

http://jsfiddle.net/AcLYd/