<div dir="ltr"><div class="gmail_default" style="font-family:"comic sans ms",sans-serif;font-size:small">Hi All,</div><div class="gmail_default" style="font-family:"comic sans ms",sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:"comic sans ms",sans-serif;font-size:small">I have a general query on xss prevention. To avoid xss attacks, I assume that whenever we have an input field in a jsp, we should escape it and show it to the user. i.e. all user enterable fields in a jsp should be escaped using any of the tag library functions. When we do that, the user sees the input filed value with escape sequences if he has entered any special characters. My user community says that this is ambiguous to the user.¬†</div><div class="gmail_default" style="font-family:"comic sans ms",sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:"comic sans ms",sans-serif;font-size:small">For instance , I have¬†</div><div class="gmail_default"><font face="comic sans ms, sans-serif"><form:input id="name" type="text" name="name" path="name" value="${fn:escapeXml(myBean.name)}" autocomplete="off"/></font><br></div><div class="gmail_default"><font face="comic sans ms, sans-serif"><br></font></div><div class="gmail_default"><font face="comic sans ms, sans-serif"><br></font></div><div class="gmail_default"><font face="comic sans ms, sans-serif">whenever user enters 'Mr & Mrs. Mathew' in the above field, it gets converted to 'Mr &amp; Mrs Mathew' in the screen. This happens when an action button is clicked. My users are expecting to see only 'Mr & Mrs. Mathew' as they typed in. Is this expected or am I going wrong in the usage of xss prevention functions?</font></div><div class="gmail_default"><font face="comic sans ms, sans-serif"><br></font></div><div class="gmail_default"><font face="comic sans ms, sans-serif">Thanks</font></div><div class="gmail_default"><font face="comic sans ms, sans-serif">Uma</font></div></div>