在我的应用程序中，带有脚本标签的应用程序的HTTP GET请求URL按原样重新显示，尽管它未通过授权。

例： http://www.example.com/welcome<script>alert("hi")</script>

问题是通过修改现有的GET URL来清理直接输入到地址栏中的外部输入。Spring重新显示提交的URL。

尽管该脚本未在浏览器（FF）中执行，但在将其显示给用户之前，是否仍要剥离这些值的URL