所有jsp页面输出全部使用<c:out value="{}"/> 默认就是escapeXml="true"
java中间件,<c:out />标签的功能很神奇。
1:在input=text框中输入 "/><script>alert(1);</script><input value="
2:在action中调试发现值是:"/><script>alert(1);</script><input value="
3:编辑页面回显数据是: "/><script>alert(1);</script><input value="
4:编辑保存数据,传到后台的是:"/><script>alert(1);</script><input value="
而不是 "/><script>alert(1);</script><input value="
5:数据库中是"/><script>alert(1);</script><input value="
6:所以使用c:out来做开发可以有效的避免XSS
原文:http://www.cnblogs.com/javaeye235/p/7615454.html