作者：蜗牛学院CTO李懿老师

​自从十年前的taglibs（如JSTL）和EL（表达语言，这些事情）诞生以来，在JSP中使用scriptlet（<% %>这些东西）的确是非常不鼓励的。

小脚本的主要缺点是：

1. 可重用性：不能重复使用scriptlet。

2. 可替换性：不能使scriptlet抽象。

3. OO能力：不能使用继承/组合。

4. Debuggability：如果scriptlet在中途抛出异常，那么你所得到的只是一个空白的页面。

5. 可测试性： scriptlet不能单元测试。

6. 可维护性：为了保持混合/混乱/重复的代码逻辑，需要更多的时间。

7. 可读性：在HTML代码中嵌入<%%>的小脚本让代码看上去更复杂、更难懂。

Oracle本身也建议使用JSP编码约定，以避免在（tag）类可以使用相同的功能时使用scriptlet。这里有几个相关的引用：

从JSP 1.2规范中，强烈建议在Web应用程序中使用JSP标准库（JSTL），以减少对页面中JSP脚本的需求。

使用JSTL的页面通常更容易阅读和维护。

...

在可能的情况下，每当标签库提供相同的功能时，避免使用JSP脚本 这使得页面更容易阅读和维护，有助于将业务逻辑与表示逻辑分开，并将使页面更容易演进为JSP 2.0样式页面（JSP 2.0规范支持但不强调使用scriptlet）。

...

本着以采用模型视图控制器（MVC）设计模式来减少业务逻辑表示层之间耦合的精神，JSP脚本不应该用于编写业务逻辑。相反，如果需要，可以使用JSP脚本来将从客户端请求处理返回的数据（也称为“值对象”）转换为适当的客户端需求格式。这将更好地使用前端控制器servlet或自定义标签。

如何替换scriptlet完全取决于代码/逻辑的唯一目的。这个代码经常被放置在一个完整的Java类中：

· 如果要在每个请求上调用相同的 Java代码，不管请求的页面是多少，比如检查用户是否登录，则在方法中实现过滤器并相应地编写代码。例如：doFilter()

· publicvoid doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throwsServletException, IOException {

· if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {

·         ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.

·     } else {

·         chain.doFilter(request, response); // Logged in, just continue request.

·     }

}

当映射到适当的<url-pattern>所关联的JSP页面时，您不需要在所有JSP页面上共享相同的代码片段。

· 如果要调用一些Java代码来预处理请求，例如从数据库中预先加载某些列表显示在某些表格中，如有必要，则根据某些查询参数，然后在方法中相应地实现servlet并编写代码doGet()。例如：

· protectedvoid doGet(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· try {

· List<Product> products = productService.list(); // Obtain all products.

·         request.setAttribute("products", products); // Store products in request scope.

·         request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.

·     } catch (SQLException e) {

· thrownewServletException("Retrieving products failed!", e);

·     }

}

这样处理异常更容易。在JSP渲染过程中，DB不被访问，但是在显示JSP之前，当DB访问引发异常时，您仍然可以更改响应。

在上面的例子中，默认的错误500页面将被显示，你可以通过一个<error-page>in web.xml。

如果要调用一些Java代码来处理请求，例如处理表单提交，则在方法中实现一个servlet并相应地编写代码doPost()。

· 例如：

· protectedvoid doPost(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· String username = request.getParameter("username");

· String password = request.getParameter("password");

· User user = userService.find(username, password);

·

· if (user != null) {

·         request.getSession().setAttribute("user", user); // Login user.

·         response.sendRedirect("home"); // Redirect to home page.

·     } else {

·         request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.

·         request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.

·     }

}

通过这种方式处理不同结果页面的目的地更容易：重新显示在一个错误的情况下验证错误的形式（在这个特殊的例子，你可以使用重新显示${message}在EL），或只是把到所需的目标页面在成功的情况下验证。

· 如果要调用一些Java代码来控制请求和响应的执行计划和/或目标，则根据MVC的前端控制器模式实现一个servlet。例如：

· protectedvoid service(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· try {

· Action action = ActionFactory.getAction(request);

· String view = action.execute(request, response);

·

· if (view.equals(request.getPathInfo().substring(1)) {

·             request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);

·         } else {

·             response.sendRedirect(view);

·         }

·     } catch (Exception e) {

· thrownewServletException("Executing action failed.", e);

·     }

}

或者只是采用像JSF，Spring MVC，Wicket等这样的MVC框架，所以你只需要一个JSP / Facelets页面和一个Javabean类，而不需要一个自定义的servlet。

· 如果要调用一些Java代码来控制 JSP页面中的流程，那么就需要像JSTL内核那样获取一个（现有的）流控制taglib 。例如List<Product>：

· <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>

· ...

· <table>

· <c:forEachitems="${products}"var="product">

· <tr>

· <td>${product.name}</td>

· <td>${product.description}</td>

· <td>${product.price}</td>

· </tr>

· </c:forEach>

</table>

使用适合所有这些HTML的XML样式标签，代码比一堆具有不同打开和关闭括号的“script”属于更好的可读性（因此可维护性更好）。一个简单的帮助是配置您的Web应用程序，以便在使用scriptlet时抛出异常，将以下内容添加到web.xml：

<jsp-config>

<jsp-property-group>

<url-pattern>*.jsp</url-pattern>

<scripting-invalid>true</scripting-invalid>

</jsp-property-group>

</jsp-config>

在Facelets的，JSP继任者，这是Java EE提供的MVC框架的一部分JSF，它已经不能够使用小脚本。这样你就被自动地强制做“正确的方式”。

· 如果要调用一些Java代码来访问并在JSP页面中显示 “后端”数据，则需要使用EL（表达式语言）这些东西。提交的输入值，例如重新显示：

<inputtype="text"name="foo"value="${param.foo}"/>

该${param.foo}显示器的结果request.getParameter("foo")。

· 如果要在JSP页面（通常是方法）中直接调用一些实用程序 Java代码public static，那么需要将它们定义为EL函数。JSTL中有一个标准函数taglib，可以轻松地自己创建函数。以下是JSTL如何fn:escapeXml有效防止XSS 攻击的示例。

· <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>

· ...

<inputtype="text"name="foo"value="${fn:escapeXml(param.foo)}"/>

请注意，XSS敏感性与Java / JSP / JSTL / EL /无关，这个问题需要在你开发的每个 Web应用程序中考虑。scriptlet的问题在于它不提供内置的预防方法，至少不使用标准的Java API。JSP的继任者Facelets已经隐式HTML转义，所以大家不需要担心Facelets中的XSS漏洞。

挖矿搬砖不如IT码农，轻松转行还看蜗牛学院。

蜗牛学院 专注于IT职业教育，轻松转行，简学易懂；免费试学，亲身体验；商业项目亲自操刀，与名企零距离接触；应届生就业薪资6000起，年薪10万不是事，涨幅绝比房价高。