Это невозможно. Веб-браузер не понимает код JSTL и EL. Он понимает только код HTML / CSS / JS. Этот код JSTL / EL должен запускаться на веб-сервере. Лучше всего, чтобы JavaScript отправлял запрос Ajax на сервер, который, в свою очередь, запускает JSP с кодом JSTL / EL, а затем возвращает сгенерированный ответ HTML и, наконец, позволяет JavaScript отображать этот HTML.
Если ваше единственное функциональное требование заключается в HTML / XML-кодировании переменной JavaScript, как fn:escapeXml() делает для JSP, тогда переходите к ответам на этот вопрос: HTML-кодировка теряется при чтении атрибута из поля ввода .
Обратите внимание, что риск XSS отсутствует, если данные хранятся полностью на стороне клиента. Как только вы отправляете данные на сервер, а сервер сохраняет их и повторно отображает их для другого конечного пользователя, возникает риск XSS. Для этого fn:escapeXml() в JSP можно просто использовать, так как это сервер, который отображает его снова.