XSS攻擊,就是攻擊者對某個他要攻擊的網站,網站內的input欄位,寫入惡意的script,
若網站本身不對這些輸入進行處理,那麼當有不知情的使用者開啟該網站,
這段惡意script就有可能跟著網站內容一起被下載下來到使用者的電腦,
惡意script就會在不知情使用者電腦中來執行,這就是XSS攻擊。
而Thymeleaf這個類似JSP的前端渲染工具,他的語法本身即具備了防止XSS攻擊的功能。
因為Thymeleaf的語法,會將<script>開頭的字串,通通轉成是另一種格式的字串,
這樣瀏覽器看到這些被轉換後的字串,
就不會解讀成是一串script來執行,而是解讀成一串純文字。既然是純文字那呈顯就好,
這樣就避免了惡意script被執行。也就避免了XSS攻擊。