在JSTL中有两种打印输出的方法 -
<H1><c:out value="${theOutput}" /></H1>
和
<H1>${theOutput}</H1>
有什么不同?哪一个是首选方式?
谢谢.
这两种方法c:out,并JSP EL会显示输出到页面的,但有一个重要区别.该c:out标签会自动转义XML输出,可以防止跨站脚本.使用JSP EL(第二个选项)不会转义输出.
当显示用户输入的数据时,使用c:out标签而不是JSP EL防止任何恶意数据输入显示在页面上.