尽管使用 htmlspecialchars 对单引号进行编码，但 JavaScript 仍然抱怨这些引号需要在函数调用中转义

HTML 字符实体和转义符在解析源时被 HTML 解析器替换。对于引号，它允许在用于引用源中的属性值的 HTML 属性中包含相同类型的引号。

例如

 <element attribute="&quot;">
 <element attribute='&#039;'>

在源代码中将分别产生 "（双引号）和 '（单引号）的属性值，尽管它们是用于引用 HTML 源代码中的属性值的分隔符。

因此

 <a href="javascript:uploadVariantPicture('size:&#039;test2&#039');">Link</a>

将产生一个 href 属性值

  javascript:uploadVariantPicture('size:'test'');

在 HTML 解析器删除外部双引号之后。

选项可以包括在 " 值内适当地转义双引号 (HTML href)（这取决于 uploadVariantPicture 接受的语法），包括上述单引号之前的反斜杠转义在帖子中，或者根本不使用 javascript: 伪协议，赞成在 JavaScript 中添加事件侦听器。

强烈建议不要使用 javascript: 伪协议 - 基本上它是 HTML3 的保留。

考虑使用 JavaScript 正确附加事件处理程序，这样您就不必担心转义问题，并且不必依赖全局对象的污染来使脚本工作：

const uploadVariantPicture = (arg) => console.log(arg);

document.querySelector('a').addEventListener('click',() => {
  uploadVariantPicture("size:'test2'");
});

<a>Link</a>

我想不出任何内联处理程序比 addEventListener 更可取的情况，除非您故意尝试利用 XSS 漏洞。