它不起作用,因为
是Java字符串中的转义字符。要从字面上表示它,您需要再次将其转义。另外,"是EL中的特殊字符,您还需要对其进行转义以从字面上表示它。因此,正确的语法应该是:
<input type="hidden" name="text" size="40" value="${fn:replace(text, '"', '\"'}">但是,您 实际上 应该使用它
fn:escapeXml()来防止XSS。它不仅转义了引号,而且还转义了其他字符。
<input type="hidden" name="text" size="40" value="${fn:escapeXml(text)}">- JSP / Servlet Web应用程序中的XSS预防
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)