Strutsのタグ
Struts1.3.8の
DBに入っているURLを
JSP:
<% String url = "http://www.example.co.jp\" onclick=\"alert('hello!')"; %> <html:link href="<%= url %>">Click Me!</html:link>
レンダリング結果:
<a href="http://www.example.co.jp" onclick="alert('hello!')">Click Me!</a>
よってユーザが外部から指定したURLにリンクを張るようなアプリケーションの場合は注意が必要。
Strutsの他のカスタムタグの属性については調べていないが、自前でHTMLエンコードしないといけないケースは多いのかも。