JSP: тег <c: out> JSTL

Question

Написание страницы JSP, что именно делает <c:out>? Я заметил, что следующие оба имеют одинаковый результат:

<p>The person's name is <c:out value="${person.name}" /></p>
<p>The person's name is ${person.name}</p>

Answer 1

c:out экранирует символы HTML, поэтому вы можете избежать межсайтовых скриптов.

если person.name = <script>alert("Yo")</script>

скрипт будет выполнен во втором случае, но не при использовании c:out

Answer 2

Как сказал Уилл Вагнер, в старой версии jsp всегда нужно использовать c:out для вывода динамического текста.

Кроме того, используя этот синтаксис:

<c:out value="${person.name}">No name</c:out>

Вы можете отобразить текст «Без имени», когда имя равно нулю.

Answer 3

Вы можете явно включить экранирование сущностей Xml, используя атрибут escapeXml, значение которого равно true. К вашему сведению, по умолчанию "true".

Answer 4

c:out также имеет атрибут для назначения значения по умолчанию, если значение person.name равно нулю.

Источник: out (Документация, сгенерированная TLDDoc)

Answer 5

Старые версии JSP не поддерживали второй синтаксис.