Java的view层可以使用EL和JSTL
后端的ModelAndView增加
mv.addObject("xss", "<script>alert(\"test\")</script>");
View页面
${xss}
<c:out value="${xss}" escapeXml="true"></c:out>
<c:out value="${xss}"></c:out>
c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘<‘ ‘>‘ ‘&‘ 等进行转义,而EL表达式则不会。