版权声明:努力去改变!!! https://blog.csdn.net/lq1759336950/article/details/88752079
escape=false;会输出html效果,即在你的客户端text文本框里面写上html代码,相应页面会将其表示出来,举个例子看如下代码:
记得引入struts2标签库
reg.jsp页面只要代码:
<form action="show_Users.action" method="post">
姓名:<s:textfield name="us.uname"></s:textfield><br>
<s:submit value="提交"></s:submit>
</form>
show.jsp页面只要代码:
<body>
<s:property value="#session.us.uname" escape="false"/>
</body>
运行结果:
如图:我在此文本框输入<font color="red" size="15">张飞</font>
点击提交后即可看到:
这还不是什么严重问题,倘若我们输入:<script>while(true){alert('你电脑崩了');}</script>
则:
此提示框会成为一个死循环
所以,一般情况下,我们会设置escape=true!