Когда я устанавливаю defaultHtmlEscape
на true
в web.xml, значения, установленные во всех полях ввода, экранируются.
Но когда они отправляются, значения не экранируются.
Итак, правда ли, что этот параметр предназначен только для вывода и не включает отправку параметров (и поэтому, если я хочу сохранить безопасные для xss значения в базе данных, я должен сделать что-то еще)