如何避免JSP文件中的Java代码?

我是Java EE的新手,我知道类似于以下三行

<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>

是一种古老的编码方式,在JSP版本2中存在一种避免JSP文件中的Java代码的方法。 有人可以告诉我可选的JSP 2行,以及这种技术被称为什么?


自从十年前taglibs(如JSTL)和EL(表达式语言,这些${}东西)的诞生以来,JSP中使用scriptlets(那些<% %>东西)的确非常令人沮丧。

scriptlet的主要缺点是:

  • 可重用性:您无法重用脚本。
  • 可替换性:您不能使脚本抽象化。
  • OO能力:你不能使用继承/组合。
  • 可调试性:如果scriptlet中途抛出一个异常,你得到的只是一个空白页面。
  • 可测试性: scriptlet不是单元可测试的。
  • 可维护性:每个saldo需要更多的时间来维护混合/混乱/重复的代码逻辑。
  • Sun Oracle本身也建议在JSP编码约定中避免使用scriptlet,只要(tag)类可以实现相同的功能。 这里有几个相关的例子:

    从JSP 1.2规范中,强烈建议您在Web应用程序中使用JSP标准标记库(JSTL),以帮助减少对页面中JSP脚本的需求 。 一般来说,使用JSTL的页面更易于阅读和维护。

    ...

    在可能的情况下,每当标记库提供相同的功能时,应避免JSP scriptlet 这使得页面更易于阅读和维护,有助于将业务逻辑与表示逻辑分开,并且使页面更容易演化为JSP 2.0样式的页面(JSP 2.0规范支持,但是强调使用scriptlet)。

    ...

    本着采用模型 - 视图 - 控制器(MVC)设计模式以减少表示层与业务逻辑之间的耦合的精神, JSP脚本不应用于编写业务逻辑。 相反,如果需要使用JSP脚本来将从处理客户端请求返回的数据(也称为“值对象”)转换为适当的客户端就绪格式。 即使如此,使用前端控制器servlet或自定义标签也可以做得更好。


    如何完全替换scriptlet取决于代码/逻辑的唯一目的。 这个代码常常被放置在一个完整的Java类中:

  • 如果您希望在每个请求上调用相同的 Java代码,那么不管请求的页面如何,例如检查用户是否已登录,然后实现过滤器并在doFilter()方法中相应地编写代码。 例如:

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
            ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
        } else {
            chain.doFilter(request, response); // Logged in, just continue request.
        }
    }
    

    当映射到覆盖感兴趣的JSP页面的适当<url-pattern> ,则不需要在所有JSP页面上复制同一段代码。


  • 如果您想要调用一些Java代码来预处理请求,例如从数据库中预加载某些列表以显示在某个表中,必要时根据某些查询参数进行显示,然后在doGet()方法中实现一个servlet并相应地编写代码。 例如:

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            List<Product> products = productService.list(); // Obtain all products.
            request.setAttribute("products", products); // Store products in request scope.
            request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
        } catch (SQLException e) {
            throw new ServletException("Retrieving products failed!", e);
        }
    }
    

    这样处理异常就容易了。 在JSP呈现过程中,数据库不会被访问,而是在JSP显示之前。 只要数据库访问引发异常,您仍然可以更改响应。 在上面的示例中,将显示缺省错误500页面,您可以通过web.xml<error-page>自定义该<error-page>


  • 如果您想调用一些Java代码来后处理请求,例如处理表单提交,那么在doPost()方法中实现一个servlet并相应地编写代码。 例如:

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        User user = userService.find(username, password);
    
        if (user != null) {
            request.getSession().setAttribute("user", user); // Login user.
            response.sendRedirect("home"); // Redirect to home page.
        } else {
            request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
            request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
        }
    }
    

    这种方式处理不同的结果页面目的地更容易:在发生错误的情况下重新显示带有验证错误的表单(在这个特定的例子中,您可以在EL中使用${message}重新显示它),或者在需要的情况下的成功。


  • 如果您想要调用一些Java代码来控制执行计划和/或请求和响应的目的地,那么请根据MVC的Front Controller Pattern实现一个servlet。 例如:

    protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        try {
            Action action = ActionFactory.getAction(request);
            String view = action.execute(request, response);
    
            if (view.equals(request.getPathInfo().substring(1)) {
                request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
            } else {
                response.sendRedirect(view);
            }
        } catch (Exception e) {
            throw new ServletException("Executing action failed.", e);
        }
    }
    

    或者只是采用像JSF,Spring MVC,Wicket等MVC框架,以便最终只需要一个JSP / Facelets页面和一个Javabean类,而不需要定制servlet。


  • 如果您想调用一些Java代码来控制 JSP页面内的流程 ,那么您需要获取(现有的)流控制标签库,如JSTL内核。 例如,在表格中显示List<Product>

    <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
    ...
    <table>
        <c:forEach items="${products}" var="product">
            <tr>
                <td>${product.name}</td>
                <td>${product.description}</td>
                <td>${product.price}</td>
            </tr>
        </c:forEach>
    </table>
    

    使用适合所有HTML的XML风格的标签,代码的可读性更好(因此可维护性更好),而不是一堆带有各种开启和关闭大括号的脚本(“这个关闭大括号属于哪里?”)。 一个简单的帮助是配置您的Web应用程序,以便在通过将以下代码片段添加到web.xml时仍然使用scriptlet时引发异常:

    <jsp-config>
        <jsp-property-group>
            <url-pattern>*.jsp</url-pattern>
            <scripting-invalid>true</scripting-invalid>
        </jsp-property-group>
    </jsp-config>
    

    Facelets中,JSP的继任者,这是Java EE提供的MVC框架JSF的组成部分,它已经无法使用小脚本。 这样你就会自动被迫做“正确的方式”。


  • 如果你想调用一些Java代码来访问和显示 JSP页面中的“后端”数据,那么你需要使用EL(表达式语言)这些${}东西。 例如重新显示提交的输入值:

    <input type="text" name="foo" value="${param.foo}" />
    

    ${param.foo}显示request.getParameter("foo")


  • 如果您想在JSP页面中直接调用一些实用 Java代码(通常是public static方法),那么您需要将它们定义为EL函数。 JSTL中有一个标准的函数taglib,但你也可以自己轻松地创建函数。 以下是JSTL fn:escapeXml用于防止XSS攻击的示例。

    <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
    ...
    <input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />
    

    请注意,XSS敏感性与Java / JSP / JSTL / EL /无关,无论如何,在您开发的每个 Web应用程序中需要考虑这个问题。 scriptlet的问题在于它不提供内置的预防方法,至少不使用标准的Java API。 JSP的继任者Facelets已经隐式HTML转义,所以你不需要担心Facelets中的XSS漏洞。

  • 也可以看看:

  • JSP,Servlet和JSF有什么区别?
  • Servlet,ServletContext,HttpSession和HttpServletRequest / Response如何工作?
  • 具有JSP,Servlet和JDBC的基本MVC示例
  • Java Web应用程序中的设计模式
  • JSP / Servlet的隐藏功能

  • 作为保障:禁用好的Scriptlets

    另一个问题正在讨论中,您可以并且始终应该禁用web.xml Web应用程序描述符中的scriptlet。

    我总是这样做,以防止任何开发人员添加脚本,特别是在大型公司,迟早你会失去概述。 web.xml设置如下所示:

    <jsp-config>
      <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
         <scripting-invalid>true</scripting-invalid>
      </jsp-property-group>
    </jsp-config>
    

    JSTL为条件,循环,集合,获取等提供标签。例如:

    <c:if test="${someAttribute == 'something'}">
       ...
    </c:if>
    

    JSTL使用请求属性 - 它们通常由Servlet设置在请求中,该Servlet将转发给JSP。

    链接地址: http://www.djcxy.com/p/14805.html

    上一篇: How to avoid Java code in JSP files?

    下一篇: What is the best way to iterate over a dictionary?