回答:
c:out
クロスサイトスクリプティングを回避できるように、HTML文字をエスケープします。
もし person.name = <script>alert("Yo")</script>
スクリプトは2番目のケースで実行されますが、使用時には実行されません c:out
Will Wagnerが言ったように、jspの古いバージョンでは、常にc:out
動的テキストの出力に使用する必要があります。
さらに、次の構文を使用します。
<c:out value="${person.name}">No name</c:out>
名前がnullの場合、「名前なし」というテキストを表示できます。
c:out
の値がperson.name
たまたまnullの場合にデフォルト値を割り当てるための属性もあります。