XSS攻击,就是攻击者对某个他要攻击的网站,网站内的input字段,写入恶意的script,
若网站本身不对这些输入进行处理,那么当有不知情的使用者开启该网站,
这段恶意script就有可能跟着网站内容一起被下载下来到使用者的电脑,
恶意script就会在不知情使用者电脑中来执行,这就是XSS攻击。
而Thymeleaf这个类似JSP的前端渲染工具,他的语法本身即具备了防止XSS攻击的功能。
因为Thymeleaf的语法,会将<script>开头的字串,通通转成是另一种格式的字串,
这样浏览器看到这些被转换后的字串,
就不会解读成是一串script来执行,而是解读成一串纯文字。既然是纯文字那呈显就好,
这样就避免了恶意script被执行。也就避免了XSS攻击。