如何转义自定义 JSP 标记处理程序中的值？ [重复]

您只是将 XSS 与转义 HTML 输出混淆了。如果您使用

<c:out>

或

${fn.escapeXml()}

那么它会阻止 XSS 渲染。标签和 EL 表达式在服务器上执行。当您在表单的输入字段中输入

<script>

标签时，它不会立即执行。但它被发送到服务器进行渲染。

您可以使用任何转义工具来转义 html 标签、js 代码和 xml，使其不输出到响应。

如需进一步阅读，请参阅跨站脚本 (XSS)。