JSP: тег <c: out> JSTL

Что именно делает при написании страницы JSP <c:out>? Я заметил, что оба следующих результата дают одинаковый результат:

<p>The person's name is <c:out value="${person.name}" /></p>
<p>The person's name is ${person.name}</p>

c:out экранирует символы HTML, чтобы избежать межсайтового скриптинга.

если person.name = <script>alert("Yo")</script>

скрипт будет выполнен во втором случае, но не при использовании c:out

Как сказал Уилл Вагнер, в старой версии jsp вы всегда должны использовать c:outдля вывода динамического текста.

Более того, используя этот синтаксис:

<c:out value="${person.name}">No name</c:out>

вы можете отобразить текст «Без имени», если имя не указано.

c:outтакже имеет атрибут для присвоения значения по умолчанию, если значение person.nameоказывается нулевым.

Источник: из (Документация, созданная TLDDoc)

Вы можете явно включить экранирование сущностей Xml, используя значение атрибута escapeXml, равное true. К вашему сведению, по умолчанию это «правда».

Старые версии JSP не поддерживали второй синтаксис.