问题

我是Java EE的新手,我知道类似于以下三行

<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>

是一种古老的编码方式,在JSP版本2中存在一种避免JSP文件中的Java代码的方法。有人可以告诉我可选的JSP 2行,以及这种技术被称为什么?

#1 热门回答(1845 赞)

自2001年出现taglibs(如JSTL)和ELExpression Language,那些“$ {}”事物)以来,在JSP中使用脚本(那些<%%>事物)的确非常灰心。

脚本的主要缺点是:

  • 可重用性:您无法重用脚本。
  • 可替换性:你不能使脚本抽象化。
  • OO能力:你不能使用继承/组合。
  • 可调试性:如果scriptlet中途抛出一个异常,你得到的只是一个空白页面。
  • 可测试性:scriptlet不是单元可测试的。
  • 可维护性:每个saldo需要更多的时间来维护混合/混乱/重复的代码逻辑。

SunOracle本身也建议在JSP coding conventions中避免使用脚本,只要(标签)类可以实现相同的功能。以下是几个相关的引用:

从JSP 1.2规范开始,强烈建议在Web应用程序中使用JSP标准标记库(JSTL),以帮助减少对页面中JSP脚本的需求。一般来说,使用JSTL的页面更易于阅读和维护。 ...尽可能,每当标记库提供等效功能时,请避免使用JSP scriptlet。这使得页面更易于阅读和维护,有助于将业务逻辑与表示逻辑分开,并且使页面更容易演化为JSP 2.0样式的页面(JSP 2.0规范支持,但是强调使用scriptlet)。 ...采用模型 - 视图 - 控制器(MVC)设计模式以减少表示层与业务逻辑之间的耦合的精神,JSP scriptlet不应用于编写业务逻辑。相反,如果需要使用JSP脚本来将从处理客户端请求返回的数据(也称为“值对象”)转换为适当的客户端就绪格式。即使如此,使用前端控制器servlet或自定义标签也可以做得更好。
如何替换脚本取决于代码/逻辑的唯一目的。这些代码常常被放置在一个完整的Java类中: - 如果您希望在每个请求上调用相同的Java代码,则不管请求的页面如何,检查用户是否已登录,然后在doFilter()方法中实现过滤器并相应地编写代码。例如:public void doFilter(ServletRequest请求,ServletResponse响应,FilterChain链)抛出ServletException,IOException {
    if(((HttpServletRequest)request).getSession()。getAttribute(“user”)== null){
        ((HttpServletResponse)响应).sendRedirect(“login”); //未登录,重定向到登录页面。
    } else {
        chain.doFilter(request,response); //登录后,继续请求。
    }
}
 当映射到覆盖感兴趣的JSP页面的适当<url-pattern>时,您不需要在所有JSP页面上复制相同的代码段。

  • 如果你想调用一些Java代码来预处理请求,例如从数据库中预加载一些列表以显示在某个表中,如果需要,可以根据一些查询参数,然后在doGet()方法中实现一个servlet并相应地编写代码。例如:protected void doGet(HttpServletRequest请求,HttpServletResponse响应)抛出ServletException,IOException {
        尝试{
            List <Product> products = productService.list(); //获取所有产品
            request.setAttribute(“产品”,产品); //将产品存储在请求范围内。
            request.getRequestDispatcher(“/ WEB-INF / products.jsp”)。forward(request,response); //转发到JSP页面以将其显示在HTML表格中。
        } catch(SQLException e){
            抛出新的ServletException(“检索产品失败!”,e);
        }
    }
     这样处理异常就容易了。在JSP呈现过程中,数据库不会被访问,而是在JSP显示之前。只要数据库访问引发异常,您仍然可以更改响应。在上面的示例中,将显示缺省错误500页面,您可以通过web.xml中的<error-page>自定义该页面。
  • 如果您想要调用一些Java代码来后处理请求,例如处理表单提交,然后在doPost()方法中实现一个servlet并相应地编写代码。例如:protected void doPost(HttpServletRequest请求,HttpServletResponse响应)抛出ServletException,IOException {
        字符串用户名= request.getParameter(“用户名”);
        String password = request.getParameter(“password”);
        User user = userService.find(username,password);

    if(user!= null){
        request.getSession()。setAttribute(“user”,user); //登录用户
        response.sendRedirect是( “家”); //重定向到主页。
    } else {
        request.setAttribute(“message”,“未知的用户名/密码。请重试。”); //在请求范围中存储错误消息。
        request.getRequestDispatcher(“/ WEB-INF / login.jsp”)。forward(request,response); //转发到JSP页面以重新显示登录表单并显示错误。
    }
}
 通过这种方式处理不同的结果页面更容易:重新显示表单如果发生错误(在这个特例中,你可以在EL中使用$ 重新显示它),或者在成功的情况下只需要访问所需的目标页面。

  • 如果您想要调用一些Java代码来控制执行计划和/或请求和响应的目的地,请根据MVC的Front Controller Pattern实现一个servlet。例如:protected void service(HttpServletRequest request,HttpServletResponse response)抛出ServletException,IOException {
        尝试{
            Action action = ActionFactory.getAction(request);
            String view = action.execute(request,response);

        if(view.equals(request.getPathInfo()。substring(1)){
            request.getRequestDispatcher(“/ WEB-INF /”view“.jsp”)。forward(request,response);
        } else {
            response.sendRedirect是(视图);
        }
    catch(Exception e){
        抛出新的ServletException(“执行操作失败。”,e);
    }
}
 或者只是采用像JSF,Spring MVC,Wicket等MVC框架,以便最终只需要一个JSP / Facelets页面和一个Javabean类,而不需要定制servlet。

  • 如果您想调用一些Java代码来控制JSP页面内的流程,那么您需要获取(现有的)流控制标签库,如JSTL内核。例如。在表格中显示List <Product>:<%@ taglib uri =“http://java.sun.com/jsp/jstl/core”prefix =“c”%>
    ...
    <表>
        <c:forEach items =“$     ”var =“product”>
            <TR>
                <TD> $ </ TD>
                <TD> $ </ TD>
                <TD> $ </ TD>
            </ TR>
        </ C:的forEach>
    </ TABLE>
     使用适合所有HTML的XML风格的标签,代码的可读性更好(因此可维护性更好),而不是一堆带有各种开启和关闭大括号的脚本(“这个关闭大括号属于哪里?”)。一个简单的帮助是配置您的Web应用程序,以便在使用scriptlet时通过向web.xml添加以下部分来抛出异常:<jsp-config>
        的<jsp-属性组>
            <URL模式> *。JSP </ URL模式>
            <脚本-无效>真</脚本-无效>
        </ JSP的属性组>
    </ JSP的配置>
     在Facelets中,JSP的后继者是Java EE提供MVC框架JSF的一部分,已经不可能使用scriptlet了。这样你就会自动被迫做“正确的方式”。
  • 如果你想调用一些Java代码来访问和显示JSP页面中的“后端”数据,那么你需要使用EL(表达式语言)这些$ {}的东西。例如。重新显示提交的输入值:<input type =“text”name =“foo”value =“$ ”/>
     $     显示request.getParameter(“foo”)的结果。
  • 如果要直接在JSP页面中调用某些实用程序Java代码(通常是公共静态方法),则需要将它们定义为EL函数。 JSTL中有一个标准的函数taglib,但你也可以自己轻松地创建函数。以下是JSTL fn:escapeXml用于防止XSS攻击的示例。 <%@ taglib uri =“http://java.sun.com/jsp/jstl/functions”prefix =“fn”%>
    ...
    <input type =“text”name =“foo”value =“$ {fn:escapeXml(param.foo)}”/>
     请注意,XSS敏感性与Java / JSP / JSTL / EL /无关,无论如何,在您开发的每个Web应用程序中都需要考虑这个问题。 scriptlet的问题在于它不提供内置的预防方法,至少不使用标准的Java API。 JSP的继任者Facelets已经隐式HTML转义,所以你不需要担心Facelets中的XSS漏洞。

### 也可以看看:

  • JSP,Servlet和JSF有什么区别?
  • Servlet,ServletContext,HttpSession和HttpServletRequest / Response如何工作?
  • 使用JSP,Servlet和JDBC的基本MVC示例
  • Java Web应用程序中的设计模式
  • JSP / Servlet的隐藏功能

#2 热门回答(206 赞)

作为安全措施:禁用Scriptlets for Good
Asanother question正在讨论中,您可以并且始终应该在您的web.xml Web应用程序描述符中禁用scriptlet。

我总是这样做,以防止任何开发人员添加脚本,特别是在大型公司,迟早你会失去概述。 web.xml设置如下所示:

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>

#3 热门回答(101 赞)

JSTL为条件,循环,集合,获取等提供标签。例如:

<c:if test="${someAttribute == 'something'}">
   ...
</c:if>

JSTL使用请求属性 - 它们通常由Servlet设置在请求中,而Servlet则转发到JSP。

原文链接