您只是将 XSS 与转义 HTML 输出混淆了。如果您使用
<c:out>
${fn.escapeXml()}
<script>
您可以使用任何转义工具来转义 html 标签、js 代码和 xml,使其不输出到响应。
如需进一步阅读,请参阅跨站脚本 (XSS)。