JSENCODE
バックスラッシュ (\) などのエスケープ文字をアポストロフィー (‘) などの安全でない JavaScript 文字の前に挿入して、JavaScript で使用するテキスト文字列や差し込み項目値をエンコードします。
ページの読み込み時に JavaScript が実行され、アラートが表示されます。
<script>var ret = "foo";alert('xss');//";</script>この場合、JavaScript が実行されないように、JSENCODE 関数を使用します。例
<script>var ret = "{!JSENCODE($CurrentPage.parameters.retURL)}";</script>