c:out标签和el表达式与跨域攻击XSS

很多时候，在JSP中我们喜欢用EL表达式输出信息，但是最近发现这个确实存在个问题:XSS即跨域攻击。

下面看个例子：

　　<c:out value="${student.name}" /> 和 ${student.name}

都能输出同样的结果。

　　但是有跨域攻击时[code]student.name = <script>alert("hello world!")</script>,${student.name}将会执行，而c:out则不会。

原因：c:out 有个缺省属性escapeXML="true" 将会对特色字符如 '<' '>' '&' 等进行转义，而EL表达式则不会。