如何避免JSP文件中的Java代码?
我是Java EE的新手,我知道类似于以下三行
<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>
是一种古老的编码方式,在JSP版本2中存在一种避免JSP文件中的Java代码的方法。 有人可以告诉我可选的JSP 2行,以及这种技术被称为什么?
自从十年前taglibs(如JSTL)和EL(表达式语言,这些${}
东西)的诞生以来,JSP中使用scriptlets(那些<% %>
东西)的确非常令人沮丧。
scriptlet的主要缺点是:
Sun Oracle本身也建议在JSP编码约定中避免使用scriptlet,只要(tag)类可以实现相同的功能。 这里有几个相关的例子:
从JSP 1.2规范中,强烈建议您在Web应用程序中使用JSP标准标记库(JSTL),以帮助减少对页面中JSP脚本的需求 。 一般来说,使用JSTL的页面更易于阅读和维护。
...
在可能的情况下,每当标记库提供相同的功能时,应避免JSP scriptlet 这使得页面更易于阅读和维护,有助于将业务逻辑与表示逻辑分开,并且使页面更容易演化为JSP 2.0样式的页面(JSP 2.0规范支持,但是强调使用scriptlet)。
...
本着采用模型 - 视图 - 控制器(MVC)设计模式以减少表示层与业务逻辑之间的耦合的精神, JSP脚本不应用于编写业务逻辑。 相反,如果需要使用JSP脚本来将从处理客户端请求返回的数据(也称为“值对象”)转换为适当的客户端就绪格式。 即使如此,使用前端控制器servlet或自定义标签也可以做得更好。
如何完全替换scriptlet取决于代码/逻辑的唯一目的。 这个代码常常被放置在一个完整的Java类中:
如果您希望在每个请求上调用相同的 Java代码,那么不管请求的页面如何,例如检查用户是否已登录,然后实现过滤器并在doFilter()
方法中相应地编写代码。 例如:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
} else {
chain.doFilter(request, response); // Logged in, just continue request.
}
}
当映射到覆盖感兴趣的JSP页面的适当<url-pattern>
,则不需要在所有JSP页面上复制同一段代码。
如果您想要调用一些Java代码来预处理请求,例如从数据库中预加载某些列表以显示在某个表中,必要时根据某些查询参数进行显示,然后在doGet()
方法中实现一个servlet并相应地编写代码。 例如:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
List<Product> products = productService.list(); // Obtain all products.
request.setAttribute("products", products); // Store products in request scope.
request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
} catch (SQLException e) {
throw new ServletException("Retrieving products failed!", e);
}
}
这样处理异常就容易了。 在JSP呈现过程中,数据库不会被访问,而是在JSP显示之前。 只要数据库访问引发异常,您仍然可以更改响应。 在上面的示例中,将显示缺省错误500页面,您可以通过web.xml
的<error-page>
自定义该<error-page>
。
如果您想调用一些Java代码来后处理请求,例如处理表单提交,那么在doPost()
方法中实现一个servlet并相应地编写代码。 例如:
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
User user = userService.find(username, password);
if (user != null) {
request.getSession().setAttribute("user", user); // Login user.
response.sendRedirect("home"); // Redirect to home page.
} else {
request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
}
}
这种方式处理不同的结果页面目的地更容易:在发生错误的情况下重新显示带有验证错误的表单(在这个特定的例子中,您可以在EL中使用${message}
重新显示它),或者在需要的情况下的成功。
如果您想要调用一些Java代码来控制执行计划和/或请求和响应的目的地,那么请根据MVC的Front Controller Pattern实现一个servlet。 例如:
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
Action action = ActionFactory.getAction(request);
String view = action.execute(request, response);
if (view.equals(request.getPathInfo().substring(1)) {
request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
} else {
response.sendRedirect(view);
}
} catch (Exception e) {
throw new ServletException("Executing action failed.", e);
}
}
或者只是采用像JSF,Spring MVC,Wicket等MVC框架,以便最终只需要一个JSP / Facelets页面和一个Javabean类,而不需要定制servlet。
如果您想调用一些Java代码来控制 JSP页面内的流程 ,那么您需要获取(现有的)流控制标签库,如JSTL内核。 例如,在表格中显示List<Product>
:
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
<c:forEach items="${products}" var="product">
<tr>
<td>${product.name}</td>
<td>${product.description}</td>
<td>${product.price}</td>
</tr>
</c:forEach>
</table>
使用适合所有HTML的XML风格的标签,代码的可读性更好(因此可维护性更好),而不是一堆带有各种开启和关闭大括号的脚本(“这个关闭大括号属于哪里?”)。 一个简单的帮助是配置您的Web应用程序,以便在通过将以下代码片段添加到web.xml
时仍然使用scriptlet时引发异常:
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
Facelets中,JSP的继任者,这是Java EE提供的MVC框架JSF的组成部分,它已经无法使用小脚本。 这样你就会自动被迫做“正确的方式”。
如果你想调用一些Java代码来访问和显示 JSP页面中的“后端”数据,那么你需要使用EL(表达式语言)这些${}
东西。 例如重新显示提交的输入值:
<input type="text" name="foo" value="${param.foo}" />
${param.foo}
显示request.getParameter("foo")
。
如果您想在JSP页面中直接调用一些实用 Java代码(通常是public static
方法),那么您需要将它们定义为EL函数。 JSTL中有一个标准的函数taglib,但你也可以自己轻松地创建函数。 以下是JSTL fn:escapeXml
用于防止XSS攻击的示例。
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />
请注意,XSS敏感性与Java / JSP / JSTL / EL /无关,无论如何,在您开发的每个 Web应用程序中都需要考虑这个问题。 scriptlet的问题在于它不提供内置的预防方法,至少不使用标准的Java API。 JSP的继任者Facelets已经隐式HTML转义,所以你不需要担心Facelets中的XSS漏洞。
也可以看看:
作为保障:禁用好的Scriptlets
另一个问题正在讨论中,您可以并且始终应该禁用web.xml
Web应用程序描述符中的scriptlet。
我总是这样做,以防止任何开发人员添加脚本,特别是在大型公司,迟早你会失去概述。 web.xml
设置如下所示:
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
JSTL为条件,循环,集合,获取等提供标签。例如:
<c:if test="${someAttribute == 'something'}">
...
</c:if>
JSTL使用请求属性 - 它们通常由Servlet设置在请求中,该Servlet将转发给JSP。
链接地址: http://www.djcxy.com/p/14805.html