Как сделать перенос строки в HTML средствами JSP

Для вставки HTML-тега <br> через JSP используется тег <c:out> с атрибутом escapeXml="false", который отключает экранирование HTML-символов:

<c:out value="<br>" escapeXml="false" />

При escapeXml="true" (значение по умолчанию) символы < и > будут экранированы в < и >, и браузер отобразит текст <br> вместо переноса строки. С escapeXml="false" браузер получает тег <br> и обрабатывает его как перенос строки.

Важно: отключение escapeXml для пользовательских данных создаёт уязвимость XSS (Cross-Site Scripting). Используйте escapeXml="false" только для доверенного контента. По умолчанию <c:out> экранирует HTML — это защита от XSS.

На собеседовании: простой вопрос, но можно показать знание безопасности. escapeXml="false" — потенциальная XSS-уязвимость. Всегда экранируйте пользовательский ввод.