如何避免JSP文件中的Java代码？

2018-05-29 16:44:36

我是Java EE的新手，我知道类似于以下三行

<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>

是一种古老的编码方式，在JSP版本2中存在一种避免JSP文件中的Java代码的方法。有人可以告诉我可选的JSP 2行，以及这种技术被称为什么？

自从十年前taglibs（如JSTL）和EL（表达式语言，这些${}东西）的诞生以来，JSP中使用scriptlets（那些<% %>东西）的确非常令人沮丧。

scriptlet的主要缺点是：

可重用性：您无法重用脚本。

可替换性：您不能使脚本抽象化。

OO能力：你不能使用继承/组合。

可调试性：如果scriptlet中途抛出一个异常，你得到的只是一个空白页面。

可测试性： scriptlet不是单元可测试的。

可维护性：每个saldo需要更多的时间来维护混合/混乱/重复的代码逻辑。

Sun Oracle本身也建议在JSP编码约定中避免使用scriptlet，只要（tag）类可以实现相同的功能。这里有几个相关的例子：

从JSP 1.2规范中，强烈建议您在Web应用程序中使用JSP标准标记库（JSTL），以帮助减少对页面中JSP脚本的需求 。一般来说，使用JSTL的页面更易于阅读和维护。

...

在可能的情况下，每当标记库提供等效的功能时，应避免JSP scriptlet 这使得页面更易于阅读和维护，有助于将业务逻辑与表示逻辑分开，并且使页面更容易演化为JSP 2.0样式的页面（JSP 2.0规范支持，但是强调使用scriptlet）。

...

本着采用模型 - 视图 - 控制器（MVC）设计模式以减少表示层与业务逻辑之间的耦合的精神， JSP脚本不应用于编写业务逻辑。相反，如果需要使用JSP脚本来将从处理客户端请求返回的数据（也称为“值对象”）转换为适当的客户端就绪格式。即使如此，使用前端控制器servlet或自定义标签也可以做得更好。

如何完全替换scriptlet取决于代码/逻辑的唯一目的。 这个代码常常被放置在一个完整的Java类中：

如果您希望在每个请求上调用相同的 Java代码，那么不管请求的页面如何，例如检查用户是否已登录，然后实现过滤器并在doFilter()方法中相应地编写代码。例如：

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
    if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
        ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
    } else {
        chain.doFilter(request, response); // Logged in, just continue request.
    }
}

当映射到覆盖感兴趣的JSP页面的适当<url-pattern> ，则不需要在所有JSP页面上复制同一段代码。

如果您想要调用一些Java代码来预处理请求，例如从数据库中预加载某些列表以显示在某个表中，必要时根据某些查询参数进行显示，然后在doGet()方法中实现一个servlet并相应地编写代码。例如：

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        List<Product> products = productService.list(); // Obtain all products.
        request.setAttribute("products", products); // Store products in request scope.
        request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
    } catch (SQLException e) {
        throw new ServletException("Retrieving products failed!", e);
    }
}

这样处理异常就容易了。在JSP呈现过程中，数据库不会被访问，而是在JSP显示之前。只要数据库访问引发异常，您仍然可以更改响应。在上面的示例中，将显示缺省错误500页面，您可以通过web.xml的<error-page>自定义该<error-page> 。

如果您想调用一些Java代码来后处理请求，例如处理表单提交，那么在doPost()方法中实现一个servlet并相应地编写代码。例如：

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");
    User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user); // Login user.
        response.sendRedirect("home"); // Redirect to home page.
    } else {
        request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
    }
}

这种方式处理不同的结果页面目的地更容易：在发生错误的情况下重新显示带有验证错误的表单（在这个特定的例子中，您可以在EL中使用${message}重新显示它），或者在需要的情况下的成功。

如果您想要调用一些Java代码来控制执行计划和/或请求和响应的目的地，那么请根据MVC的Front Controller Pattern实现一个servlet。例如：

protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        Action action = ActionFactory.getAction(request);
        String view = action.execute(request, response);

        if (view.equals(request.getPathInfo().substring(1)) {
            request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
        } else {
            response.sendRedirect(view);
        }
    } catch (Exception e) {
        throw new ServletException("Executing action failed.", e);
    }
}

或者只是采用像JSF，Spring MVC，Wicket等MVC框架，以便最终只需要一个JSP / Facelets页面和一个Javabean类，而不需要定制servlet。

如果您想调用一些Java代码来控制 JSP页面内的流程 ，那么您需要获取（现有的）流控制标签库，如JSTL内核。例如，在表格中显示List<Product> ：

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
    <c:forEach items="${products}" var="product">
        <tr>
            <td>${product.name}</td>
            <td>${product.description}</td>
            <td>${product.price}</td>
        </tr>
    </c:forEach>
</table>

使用适合所有HTML的XML风格的标签，代码的可读性更好（因此可维护性更好），而不是一堆带有各种开启和关闭大括号的脚本（“这个关闭大括号属于哪里？”）。一个简单的帮助是配置您的Web应用程序，以便在通过将以下代码片段添加到web.xml时仍然使用scriptlet时引发异常：

<jsp-config>
    <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
        <scripting-invalid>true</scripting-invalid>
    </jsp-property-group>
</jsp-config>

Facelets中，JSP的继任者，这是Java EE提供的MVC框架JSF的组成部分，它已经无法使用小脚本。这样你就会自动被迫做“正确的方式”。

如果你想调用一些Java代码来访问和显示 JSP页面中的“后端”数据，那么你需要使用EL（表达式语言）这些${}东西。例如重新显示提交的输入值：

<input type="text" name="foo" value="${param.foo}" />

${param.foo}显示request.getParameter("foo") 。

如果您想在JSP页面中直接调用一些实用 Java代码（通常是public static方法），那么您需要将它们定义为EL函数。 JSTL中有一个标准的函数taglib，但你也可以自己轻松地创建函数。以下是JSTL fn:escapeXml用于防止XSS攻击的示例。

<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

请注意，XSS敏感性与Java / JSP / JSTL / EL /无关，无论如何，在您开发的每个 Web应用程序中都需要考虑这个问题。 scriptlet的问题在于它不提供内置的预防方法，至少不使用标准的Java API。 JSP的继任者Facelets已经隐式HTML转义，所以你不需要担心Facelets中的XSS漏洞。

也可以看看：

JSP，Servlet和JSF有什么区别？

Servlet，ServletContext，HttpSession和HttpServletRequest / Response如何工作？

具有JSP，Servlet和JDBC的基本MVC示例

Java Web应用程序中的设计模式

JSP / Servlet的隐藏功能

作为保障：禁用好的Scriptlets

另一个问题正在讨论中，您可以并且始终应该禁用web.xml Web应用程序描述符中的scriptlet。

我总是这样做，以防止任何开发人员添加脚本，特别是在大型公司，迟早你会失去概述。 web.xml设置如下所示：

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>

JSTL为条件，循环，集合，获取等提供标签。例如：

<c:if test="${someAttribute == 'something'}">
   ...
</c:if>

JSTL使用请求属性 - 它们通常由Servlet设置在请求中，该Servlet将转发给JSP。

链接地址: http://www.djcxy.com/p/2141.html

上一篇: How to avoid Java code in JSP files?

下一篇: Is null check needed before calling instanceof?