java - c:out 和使用 $ 打印输出之间的区别

Question

在 JSTL 中有两种打印输出的方法 -

<H1><c:out value="${theOutput}" /></H1>

和

<H1>${theOutput}</H1>

有什么区别？哪一种是首选方式？

谢谢。

Answer 1

这两种方法c:out都会JSP EL显示输出到页面，但是有一个主要区别。该c:out标签将自动转义 xml 输出，从而防止跨站点脚本。使用JSP EL（第二个选项）不会转义输出。

当显示用户输入的数据时，使用c:out标签代替，JSP EL以防止任何恶意数据输入显示在页面上。