如何转义fmt.tld标记中的值:
<fmt:param value='${user.lastName}' />
根据应用程序的要求,UI中没有对姓氏进行验证,因此可以将javascript片段作为姓氏输入。那么,如何通过fmt标记转义Jsp页面中打印的值。
答案 0 :(得分:1)
<fmt:param value="${fn:escapeXml(user.lastName)}"/>
答案 1 :(得分:1)
找到解决方案
我使用具有escapeXml方法的JSTL函数库得到了一个有效的解决方案。所以我可以像这样使用它,
<%@taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
<fmt:param value='${fn:escapeXml(user.lastName)}' />
这thread帮助了我。
答案 2 :(得分:0)
fmt:message也不会转义字符。您也可以使用c:out标记。
<fmt:message key="${inputFromUser}" var="inputFromUser"/>
<c:out value="${inputFromUser}"/>