Jsp JSTL escapeXml默认值_Jsp_Escaping_Jstl

Jsp JSTL escapeXml默认值

jsp

Jsp JSTL escapeXml默认值,jsp,escaping,jstl,Jsp,Escaping,Jstl,我知道要避免在JSTL中转义HTML字符，请使用以下方法： <c:out value="${my.value}" escapeXml="false" /> 我想知道是否存在默认情况下使escapeXml为false的页面指令，因此我不需要在该特定页面上指定它。上述内容不转义HTML，因为escapeXml设置为false。默认情况下，escapeXml为true，因此标记将转义HTML。如果你不想逃跑，你可以使用 ${my.value} 并避免完全使用，因为的唯一目的是转义H

我知道要避免在JSTL中转义HTML字符，请使用以下方法：

<c:out value="${my.value}" escapeXml="false" />

我想知道是否存在默认情况下使escapeXml为false的页面指令，因此我不需要在该特定页面上指定它。

上述内容不转义HTML，因为

escapeXml

设置为false。默认情况下，

escapeXml

为true，因此

标记将转义HTML。如果你不想逃跑，你可以使用

${my.value}

并避免完全使用

，因为

的唯一目的是转义HTML

重新显示用户控制的输入时，请小心XSS攻击漏洞。虽然使用

可以清楚地说明您打算插入值而不转义，但是如果忘记使用

，则

${my.value}

可能是一个错误。