JSP: тег <c: out> JSTL

Написавши сторінку JSP, що саме робить <c:out>? Я помітив, що наступні обидва мають однаковий результат:

<p>The person's name is <c:out value="${person.name}" /></p>
<p>The person's name is ${person.name}</p>

c:out уникає символів HTML, щоб уникнути сценаріїв міжміських сайтів.

якщо person.name = <script>alert("Yo")</script>

сценарій буде виконуватися у другому випадку, але не під час використання c:out

Як сказав Вілл Вагнер, у старій версії jsp ви завжди повинні використовувати c:outдля виведення динамічного тексту.

Крім того, використовуючи цей синтаксис:

<c:out value="${person.name}">No name</c:out>

ви можете відобразити текст "Без імені", коли ім'я є недійсним.

c:outтакож має атрибут для призначення значення за замовчуванням, якщо значення person.nameбуває недійсним.

Джерело: вихід (Документація, створена TLDDoc)

Ви можете явно увімкнути біг з об'єктів Xml, використовуючи атрибут значення escapeXml, що дорівнює істинному. FYI, за замовчуванням це "true".

Старіші версії JSP не підтримували другий синтаксис.