如何使用 JSP 2 避免 JSP 文件中的 Java 代码？

自 taglib （如 JSTL ）和 EL （ 表达式语言，那些 ${} 东西）早在 2001 年就诞生以来， JSP 中使用 scriptlet （那些 <% %> 东西）确实是非常不鼓励的.

Scriptlet 的主要缺点是：

1. 可重用性： 您不能重用 scriptlet。
2. 可替换性： 您不能使 scriptlet 抽象。
3. 面向对象的能力： 你不能利用继承/组合。
4. 可调试性： 如果 scriptlet 中途抛出异常，您得到的只是一个空白页面。
5. 可测试性 ： 小脚本不可单元测试。
6. 可维护性： 每个 saldo 需要更多时间来维护混合/混乱/重复的代码逻辑。

Sun Oracle 本身也在 JSP 编码约定 中建议，只要（标记）类可以实现相同的功能，就避免使用 scriptlet 。以下是几个相关的引用：

根据 JSP 1.2 规范，强烈建议在 Web 应用程序中使用 JSP 标准标记库 (JSTL)，以帮助 减少页面中对 JSP scriptlet 的需求。通常，使用 JSTL 的页面更易于阅读和维护。

…

只要标记库提供等效功能，就应尽可能 避免使用 JSP scriptlet 。这使页面更易于阅读和维护，有助于将业务逻辑与表示逻辑分开，并使您的页面更容易演变成 JSP 2.0 样式的页面（JSP 2.0 规范支持但不强调使用 scriptlet）。

…

本着采用模型-视图-控制器 (MVC) 设计模式以减少业务逻辑表示层之间耦合的精神， 不应使用 JSP scriptlet 来编写业务逻辑。相反，JSP scriptlet 在必要时用于将处理客户端请求返回的数据（也称为“值对象”）转换为适合客户端的格式。即便如此，最好使用前端控制器 servlet 或自定义标记来完成。

如何替换 scriptlet 完全取决于代码/逻辑的唯一目的。这段代码通常被放在一个完全有价值的 Java 类中：

• 如果你想在 每个 请求上调用 相同 的 Java 代码，或多或少而不管请求的页面如何，例如检查用户是否登录，然后实现一个 过滤器 并在 doFilter() 方法中相应地编写代码.例如：

     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
            ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
        } else {
            chain.doFilter(request, response); // Logged in, just continue request.
        }
    }

当映射到一个适当的 <url-pattern> 覆盖感兴趣的JSP页面时，那么你不需要复制粘贴整个JSP页面的同一段代码。

• 如果你想调用一些 Java 代码来 处理 GET 请求，例如从数据库预加载一些列表以显示在一些表中，如果需要基于一些查询参数，那么实现一个 servlet 并在 doGet() 中相应地编写代码 --- 方法。例如：

     protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            List<Product> products = productService.list(); // Obtain all products.
            request.setAttribute("products", products); // Store products in request scope.
            request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
        } catch (SQLException e) {
            throw new ServletException("Retrieving products failed!", e);
        }
    }

这种处理异常的方式更容易。在 JSP 呈现过程中不访问数据库，而是在显示 JSP 之前访问数据库。每当数据库访问抛出异常时，您仍然可以更改响应。在上面的示例中，将显示默认错误 500 页面，您可以通过 <error-page> 中的 web.xml 进行自定义。

• 如果你想调用一些 Java 代码来 处理 POST 请求，例如从提交的 HTML 表单中收集数据并用它做一些业务（转换、验证、保存在 DB 中等），那么实现一个 servlet 并相应地编写代码在 doPost() 方法中。例如：

     protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        User user = userService.find(username, password);

        if (user != null) {
            request.getSession().setAttribute("user", user); // Login user.
            response.sendRedirect("home"); // Redirect to home page.
        } else {
            request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
            request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
        }
    }

这种处理不同结果页面目标的方式更容易：在出现错误的情况下重新显示带有验证错误的表单（在这个特定示例中，您可以使用 ${message} 在 EL 中重新显示它），或者只是选择所需的目标成功时的页面。

• 如果你想调用一些 Java 代码来 控制 执行计划和/或请求和响应的目的地，那么根据 MVC 的 Front Controller Pattern 实现一个 servlet 。例如：

     protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            Action action = ActionFactory.getAction(request);
            String view = action.execute(request, response);

            if (view.equals(request.getPathInfo().substring(1)) {
                request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
            } else {
                response.sendRedirect(view);
            }
        } catch (Exception e) {
            throw new ServletException("Executing action failed.", e);
        }
    }

或者只是采用 MVC 框架，如 JSF 、 Spring MVC 、 Wicket 等，这样您最终只需要一个 JSP/Facelets 页面和一个 JavaBean 类，而无需自定义 servlet。

• 如果您想调用一些 Java 代码来 控制 JSP 页面内的流程，那么您需要获取一个（现有的）流程控制标签库，例如 JSTL core 。例如，在表格中显示 List<Product> ：

     <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
    ...
    <table>
        <c:forEach items="${products}" var="product">
            <tr>
                <td>${product.name}</td>
                <td>${product.description}</td>
                <td>${product.price}</td>
            </tr>
        </c:forEach>
    </table>

使用 XML 样式的标签非常适合所有 HTML，代码比一堆带有各种左大括号和右大括号的 scriptlet 更易读（因此更易于维护）（ “这个右大括号到底属于哪里？” ）。一个简单的帮助是将您的 Web 应用程序配置为在仍然使用 scriptlet 时抛出异常，方法是将以下内容添加到 web.xml ：

     <jsp-config>
        <jsp-property-group>
            <url-pattern>*.jsp</url-pattern>
            <scripting-invalid>true</scripting-invalid>
        </jsp-property-group>
    </jsp-config>

在 JSP 的后继者 Facelets 中，它是 Java EE 提供的 MVC 框架 JSF 的一部分，已经 不可能 使用 scriptlet 了。这样你就会自动被迫以“正确的方式”做事。

• 如果你想调用一些 Java 代码来 访问和显示 JSP 页面内的“后端”数据，那么你需要使用 EL（表达式语言），那些 ${} 东西。例如重新显示提交的输入值：

     <input type="text" name="foo" value="${param.foo}" />

${param.foo} 显示 request.getParameter("foo") 的结果。

• 如果您想在 JSP 页面中直接调用一些 实用程序 Java 代码（通常是 public static 方法），那么您需要将它们定义为 EL 函数。 JSTL 中有一个标准的 函数标签库，但 您也可以轻松地自己创建函数。这是一个 JSTL fn:escapeXml 如何用于防止 XSS 攻击 的示例。

     <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
    ...
    <input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

请注意，XSS 敏感性与 Java/JSP/JSTL/EL/等等没有任何具体关系，在您开发的 每个 Web 应用程序中都需要考虑这个问题。 scriptlet 的问题是它没有提供内置的预防方法，至少没有使用标准的 Java API。 JSP的后继者Facelets已经隐含了HTML转义，所以不用担心Facelets中的XSS漏洞。

也可以看看：

• JSP、Servlet 和 JSF 有什么区别？
• Servlet、ServletContext、HttpSession 和 HttpServletRequest/Response 是如何工作的？
• JSP、Servlet 和 JDBC 的基本 MVC 示例
• Java Web 应用程序中的设计模式
• JSP/Servlet的隐藏特性

原文由 BalusC 发布，翻译遵循 CC BY-SA 4.0 许可协议