Если вы хотите автоматически избежать всех переменных JSP без явного переноса каждой переменной, вы можете использовать EL resolver , как подробно описано здесь, с полным источником и примером (JSP 2.0 или новее) и более подробно здесь :
Например, используя вышеупомянутый EL-резольвер, ваш JSP-код останется таким же, но каждая переменная будет автоматически экранирована с помощью распознавателя
...
${item.name}
${item.price}
${item.description}
...
Если вы хотите принудительно экранировать по умолчанию весной, вы тоже можете это рассмотреть, но это не исключает выражения EL, просто вывод тега, я думаю:
http://forum.springsource.org/showthread.php?61418-Spring-cross-site-scripting&p=205646#post205646
Примечание. Еще один подход к экранированию EL который использует преобразования XSL для препроцессов JSP-файлов, можно найти здесь:
http://therning.org/niklas/2007/09/preprocessing-jsp-files-to-automatically-escape-el -expressions /