${someString}

您可以使用JSTL
core
：

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>

使用<c:out value="${someString}"/>标签显示字符串。<c:out>转义HTML字符，以便避免跨站点脚本编写，可以通过设置属性来指定escapeXml=true。另一个优点是，你还可以提供情况下默认值的value计算结果为null。

您也可以使用fn:escapeXml()EL功能。您需要为此添加JSTL函数。

<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

另一种可能的方法是构建自定义ELResolver。

为EL表达式评估启用自定义变量和属性解析行为。

该博客提供了一个可行的示例。

---

对于整个Spring MVC应用程序，您可以在 web.xml中 指定转义：

<context-param>
   <param-name>defaultHtmlEscape</param-name>
   <param-value>true</param-value>
</context-param>

但是转义仅适用于spring标签，例如：

<form:input path="formField" htmlEscape="true" />

最后，您可以尝试使用第三方库XSSFilter。