在JSTL中,有两种方法可以打印输出 -
<H1><c:out value="${theOutput}" /></H1>
和
<H1>${theOutput}</H1>
有什么区别?哪一个是首选方式?
感谢。
答案 0 :(得分:7)
方法c:out和JSP EL都会显示输出到页面,但有一个主要区别。 c:out标记将自动转义xml输出,这可能会阻止跨站点脚本。使用JSP EL(第二个选项)不会转义输出。
当显示用户输入的数据时,请使用c:out标记而不是JSP EL,以防止在页面上显示任何恶意数据输入。