如何转义 JSP/JSTL 中的值？ （已解决）

您只是将 XSS 与转义 HTML 输出混淆了。如果您使用

<c:out>

或

${fn.escapeXML()}

那么它会阻止 XSS 渲染。标签和 EL 表达式在服务器上执行。当您在表单的输入字段中输入

<script>

标签时，它不会立即执行。但它被发送到服务器进行渲染。

您可以使用任何转义工具来转义 html 标签、js 代码和 xml，使其不输出到响应。

如需进一步阅读，请参阅跨站脚本 (XSS)。