Java的view层可以使用EL和JSTL
后端的ModelAndView增加
代码语言:javascript复制mv.addObject("xss", "<script>alert("test")</script>");View页面
代码语言:javascript复制${xss}
<c:out value="${xss}" escapeXml="true"></c:out>
<c:out value="${xss}"></c:out>c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘<‘ ‘>‘ ‘&‘ 等进行转义,而EL表达式则不会。
