如何使用 JSP 2 避免在 JSP 文件中使用 Java 代码？

自2001年taglibs（如JSTL）和EL（表达式语言，这些东西）诞生以来，在JSP中使用scriptlets（那些东西）确实非常不鼓励。<% %>${}

脚本的主要缺点是：

1. 可重用性：您无法重用脚本。
2. 可替换性：你不能使脚本变得抽象。
3. OO能力：你不能利用继承/组合。
4. 可调试性：如果 scriptlet 在中途抛出异常，你得到的只是一个空白页。
5. 可测试性：脚本不是单元可测试的。
6. 可维护性：每个saldo需要更多的时间来维护混合/混乱/重复的代码逻辑。

太阳Oracle 本身还建议在 JSP 编码约定中，只要（标记）类可以实现相同的功能，就避免使用 scriptlet。以下是几个相关的引用：

从 JSP 1.2 规范开始，强烈建议在 Web 应用程序中使用 JSP 标准标记库 （JSTL），以帮助减少页面中对 JSP 脚本的需求。一般来说，使用 JSTL 的页面更易于阅读和维护。

...

如果可能，只要标记库提供等效功能，就避免使用 JSP 脚本。这使得页面更易于阅读和维护，有助于将业务逻辑与表示逻辑分开，并使页面更容易演变为 JSP 2.0 样式的页面（JSP 2.0 规范支持但不强调脚本小工具的使用）。

...

本着采用模型-视图-控制器 （MVC） 设计模式来减少表示层与业务逻辑之间的耦合的精神，JSP 脚本不应用于编写业务逻辑。相反，如有必要，可以使用 JSP 脚本将处理客户机请求时返回的数据（也称为“值对象”）转换为适当的客户机就绪格式。即便如此，最好使用前端控制器 servlet 或自定义标记来完成此操作。

如何替换脚本完全取决于代码/逻辑的唯一目的。通常，此代码将被放置在一个完全值得的 Java 类中：

• 如果你想在每个请求上调用相同的Java代码，无论请求的页面如何，都或多或少，例如检查用户是否登录，然后实现一个过滤器并在doFilter（）方法中相应地编写代码。例如：

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
            ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
        } else {
            chain.doFilter(request, response); // Logged in, just continue request.
        }
    }
  

  当映射在适当的覆盖感兴趣的JSP页面上时，您不需要复制粘贴整个JSP页面的同一段代码。<url-pattern>

  ---

• 如果你想调用一些Java代码来处理GET请求，例如，从数据库中预加载一些列表以显示在某些表中，如果需要的话，基于一些查询参数，然后实现一个servlet并在doGet（）方法中相应地编写代码。例如：

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            List<Product> products = productService.list(); // Obtain all products.
            request.setAttribute("products", products); // Store products in request scope.
            request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
        } catch (SQLException e) {
            throw new ServletException("Retrieving products failed!", e);
        }
    }
  

  这种处理异常的方法更容易。DB 不是在 JSP 渲染过程中访问的，而是在显示 JSP 之前很久才访问的。您仍然可以在数据库访问引发异常时更改响应。在上面的示例中，将显示默认错误 500 页面，您无论如何都可以通过 in 进行自定义。<error-page>web.xml

  ---

• 如果你想调用一些Java代码来处理POST请求，比如从提交的HTML表单中收集数据，并用它做一些业务工作（转换、验证、保存在数据库中等），那么实现一个servlet，并在doPost（）方法中相应地编写代码。例如：

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        User user = userService.find(username, password);
  
        if (user != null) {
            request.getSession().setAttribute("user", user); // Login user.
            response.sendRedirect("home"); // Redirect to home page.
        } else {
            request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
            request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
        }
    }
  

  这种处理不同结果页面目标的方法更容易：在发生错误时使用验证错误重新显示表单（在此特定示例中，您可以在EL中使用重新显示它），或者在成功的情况下仅转到所需的目标页面。${message}

  ---

• 如果要调用一些 Java 代码来控制执行计划和/或请求和响应的目标，则根据 MVC 的前端控制器模式实现 servlet。例如：

    protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            Action action = ActionFactory.getAction(request);
            String view = action.execute(request, response);
  
            if (view.equals(request.getPathInfo().substring(1)) {
                request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
            } else {
                response.sendRedirect(view);
            }
        } catch (Exception e) {
            throw new ServletException("Executing action failed.", e);
        }
    }
  

  或者只是采用一个 MVC 框架，如 JSF、Spring MVC、Wicket 等，这样你最终只需要一个 JSP/Facelets 页面和一个 JavaBean 类，而不需要自定义的 servlet。

  ---

• 如果你想调用一些Java代码来控制JSP页面内的流，那么你需要抓取一个（现有的）流控制标签库，如JSTL核心。例如，在表格中显示：List<Product>

    <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
    ...
    <table>
        <c:forEach items="${products}" var="product">
            <tr>
                <td>${product.name}</td>
                <td>${product.description}</td>
                <td>${product.price}</td>
            </tr>
        </c:forEach>
    </table>
  

  使用XML样式的标签可以很好地适应所有HTML，代码比一堆带有各种左大括号和右大括号的脚本小节更具可读性（因此更易于维护）（“这个右大括号到底属于哪里？”）。一个简单的帮助是将 Web 应用程序配置为在仍然使用脚本时引发异常，方法是将以下部分添加到：web.xml

    <jsp-config>
        <jsp-property-group>
            <url-pattern>*.jsp</url-pattern>
            <scripting-invalid>true</scripting-invalid>
        </jsp-property-group>
    </jsp-config>
  

  在Facelets中，JSP的继承者，它是Java EE提供的MVC框架JSF的一部分，已经不可能使用脚本小工具。通过这种方式，你会自动被迫以“正确的方式”做事。

  ---

• 如果你想调用一些Java代码来访问和显示JSP页面内的“后端”数据，那么你需要使用EL（表达式语言），这些东西。例如，重新显示提交的输入值：${}

    <input type="text" name="foo" value="${param.foo}" />
  

  将显示 的结果。${param.foo}request.getParameter("foo")

  ---

• 如果要直接在 JSP 页中调用某些实用程序 Java 代码（通常是方法），则需要将它们定义为 EL 函数。JSTL 中有一个标准函数 taglib，但你也可以自己轻松创建函数。下面是一个示例，说明 JSTL 如何用于防止 XSS 攻击。public staticfn:escapeXml

    <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
    ...
    <input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />
  

  请注意，XSS敏感性与Java / JSP / JSTL / EL /任何东西都没有特别的关系，这个问题需要在您开发的每个Web应用程序中加以考虑。scriptlets的问题在于它没有提供内置的防御方法，至少没有使用标准的Java API。JSP的继任者Facelets已经隐式HTML转义，所以你不需要担心Facelets中的XSS漏洞。

另请参阅：

• JSP、Servlet 和 JSF 之间有什么区别？
• Servlet，ServletContext，HttpSession和HttpServletRequest/Response如何工作？
• JSP、Servlet 和 JDBC 的基本 MVC 示例
• Java Web 应用程序中的设计模式
• JSP/Servlet 的隐藏特性

作为保护措施：永久禁用脚本

正如另一个问题正在讨论的那样，您可以并且始终应该在 Web 应用程序描述符中禁用 scriptlet。web.xml

我总是这样做，以防止任何开发人员添加脚本，特别是在大公司中，你迟早会失去概述。设置如下所示：web.xml

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>