Если вы используете wp_json_encode для создания самой строки JSON, выходные данные, в которых вы назначаете JSON переменной JavaScript в браузере, должны быть достаточно безопасными.Функция wp_json_encode будет экранировать символы, которые в противном случае могли бы позволить кому-то ввести код в точке назначения.
Однако вы также должны учитывать, как будут использоваться ваши значения в парах ключ / значение.Если вы ожидаете целое число, возможно, пропустите значение через intval или если вы ожидаете, что текст, который вы вводите на страницу позже, возможно, пропустите его через esc_html.
Например:
<?php
$map = [
'key' => 'pairs',
'are' => '"; I document.write(\'fun trying to break out\')',
'i_am_expecting_plaintext' => esc_html('<a href="evillinkhere">Hello</a><script>evilscript();</script>'),
'i_expect_an_integer' => intval("90i"),
'some_html_allowed' => wp_kses('<a href="http://nisamerica.com/">here</a><script>dangerous();</script>', ['a' => array('href'=>array())]),
];
?>
<script>const foo = <?php echo wp_json_encode($map, JSON_PRETTY_PRINT); ?>;</script>
Создает следующий вывод:
<script>const foo = {
"key": "pairs",
"are": "\"; I document.write('fun trying to break out')",
"i_am_expecting_plaintext": "<a href="evillinkhere">Hello<\/a><script>evilscript();<\/script>",
"i_expect_an_integer": 90,
"some_html_allowed": "<a href=\"http:\/\/nisamerica.com\/\">here<\/a>dangerous();"
};</script>
Приложение:
Причина, по которой wp_json_encode давал вам {\"key\":\"pairs\",\"are\":\"fun\"}, заключается в том, что вы предоставили ей строкуэто уже было в JSON-нотации.wp_json_encode принимает собственные переменные PHP и экранирует их как JSON.Это довольно тонкая оболочка вокруг json_encode на самом деле.Мое предложение выше состоит в том, чтобы просто создать карту в PHP и передать , что , в функцию кодирования вместо создания строкового представления, а затем пытаться сделать его безопасным.