当我在web.xml中将defaultHtmlEscape设置为true时，所有输入字段中设置的值都会被转义。但是当它们被提交时，这些值不会被转义。所以，这个参数是不是只做输出，不包括参数的提交(所以，如果我想在数据库中存储xss-safe值，我应该做其他事情) 最佳答案 输入字段的默认HTML转义设置已经是true，因此true表示您默认获得的行为。此外，我想如果你想在数据库中存储xss-safe值，你需要将它设置为false以避免双重转义。因此，您需要一些不同的东西来实现输入转义，也许是一个过滤器。虽然我不认为输入转义是个好主意