Struts2のコードを読んでいたら、以下のようなコードがあった。この前後にこれ系のコードはないっぽい。（どれがリリース版のコードかわからんけど、リリースされたやつに入ってるのもこうなってた。）

while (result.indexOf("<script>") > 0){
result = result.replaceAll("<script>", "script");
}
http://svn.apache.org/repos/asf/struts/struts2/branches/release_process/core/src/main/java/org/apache/struts2/views/util/UrlHelper.javaより

やってはだめとかそういうのんではないけど、気持ち悪いって思った。そして、ここの流れに入る条件を満たすものが作れなかった（よくわわらなかった）ので、普通に使ってる限りは入ってこないフローなので何の問題もないだろうけど気持ち悪い感じ。