为什么说 jsp的 html注释 不安全？

html注释有时候不会被jsp服务端解析为注释，可能会认为是有效代码。

JSP注释

1>显示注释

<!-- 显式注释 [ <%= 表达式 %>] -->

在显式注释中，注释部分可以使用表达式，因为显式注释会被JSP引擎解释在客户端

HTML文件的源代码中生成同样的注释信息，但不会在HTML页面上显示

如： <!-- 本文件的加载日期 <%= (new.java.util.Date()).toLocalString() %>-->

在客户端HTML文件的源代码中生成如下注释:

<!-- 本文件的加载日期 July 06,2007 -->

2>隐式注释

<%-- JSP 隐式注释 --%>

隐式注释和显式注释一样不能在JSP页面显示， 但是隐式注释不能在客户端HTML文件的

源代码中生成同样的注释信息,也不能使用表达式；

html注释是用户可见的，比如你现在点击右键，查看源代码，源文件什么的，是可以看得到html注释的。

而jsp注释是不可见的，也就是说你查看源代码是没法查看这个jsp注释的。

总得来说，html注释，是（可能是，因为很少人蛋疼地去查看源文件以获得帮助）服务于用户的。而jsp注释是服务于程序员的。

---