Escribiendo una página JSP, ¿qué hace exactamente el <c:out>? Me he dado cuenta de que el siguiente tanto tiene el mismo resultado:JSP: etiqueta <c:out> de JSTL
<p>The person's name is <c:out value="${person.name}" /></p>
<p>The person's name is ${person.name}</p>
c:out escapa de los caracteres HTML para evitar las secuencias de comandos entre sitios.
si person.name = <script>alert("Yo")</script>
se ejecutará la secuencia de comandos en el segundo caso, pero no cuando se utiliza c:out
c:out también tiene un atributo para asignar un valor predeterminado si el valor de person.name pasa a ser nulo.
Como se ha dicho Will Wagner, en la versión antigua de JSP siempre se debe utilizar c:out a la salida de texto dinámico.
Por otra parte, con esta sintaxis:
<c:out value="${person.name}">No name</c:out>
se puede visualizar el texto "Sin Nombre" cuando el nombre es nulo.
¡Genial! No sabía eso. –
De acuerdo, genial. Gracias por enseñar y ayudar. Yo tampoco lo sabía. ¡Aclamaciones! –
o
Puede habilitar explícitamente el escape de entidades Xml utilizando un atributo escapeXml value igual a true. FYI, es por defecto "verdadero".
Algún código de ejemplo realmente ayudaría a completar esta respuesta. – RachelC
Solo si 'escapeXML' se establece en verdadero (no estoy seguro si es por defecto) –
Creo que es cierto por defecto. –
N.B. escapa XML no HTML. Una de las sutilezas más molestas de JSTL. Siempre termino escribiendo mi propio escape HTML EL fn. –