Le titre dit à peu près tout. J'ai jeté un coup d'œil à la source et je n'ai vu aucune tentative de fuite. Mais je ne peux pas dire avec certitude.
wp_localize_script( 'script-hook', 'object_name', array(
'param_1' => $value_1, // This?
'param_2' => esc_js( $value_2 ) // Or, this?
) );
Autant que je sache, wp_localize_script
n'échappe pas plus que nécessaire pour générer des fichiers JSON valides, et tout est envoyé sous forme de chaîne. La fonction a été initialement conçue pour permettre la traduction des chaînes utilisées dans votre JS vers d’autres langues (d’où la partie "localiser" du nom de la fonction). Ainsi, si les données que vous transmettez proviennent d'une entrée utilisateur ou sont autrement générées par l'utilisateur, vous souhaiterez certainement y échapper.