java - 如何避免JSP文件中的Java代码？

Question

我是Java EE的新手，我知道类似以下三行内容

<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>

这是一种古老的编码方式，在JSP版本2中，存在一种避免在JSP文件中使用Java代码的方法。有人可以告诉我替代的JSP 2行吗，这种技术叫什么？

Answer 1

自从标签库（例如JSP）和JSTL（EL，即那些<% %>事物）诞生于2001年以来，确实强烈不鼓励在Expression Language中使用scriptlet（那些${}事物）。

scriptlet的主要缺点是：


可重用性：您无法重用scriptlet。
可替换性：您不能使scriptlet抽象。
面向对象的能力：您不能利用继承/组合。
可调试性：如果scriptlet在中途抛出异常，您得到的只是空白页。
可测试性：脚本无法进行单元测试。
可维护性：每一次维护，需要花费更多时间来维护混杂/混乱/重复的代码逻辑。


Sun Oracle本身也建议在JSP coding conventions中避免使用（标记）类可能具有相同功能的scriptlet。以下是一些相关的引用：


从JSP 1.2规范开始，强烈建议在您的Web应用程序中使用JSP标准标记库（JSTL），以帮助减少页面中对JSP scriptlet的需求。通常，使用JSTL的页面更易于阅读和维护。

...

只要有可能，只要标签库提供等效功能，就避免使用JSP scriptlet。这使页面更易于阅读和维护，有助于将业务逻辑与表示逻辑分离，并使您的页面更易于演化为JSP 2.0样式的页面（JSP 2.0规范支持但不强调脚本的使用）。

...

本着采用模型视图控制器（MVC）设计模式以减少表示层与业务逻辑之间的耦合的精神，不应将JSP脚本集用于编写业务逻辑。而是，如果有必要，可以使用JSP scriptlet将处理客户端的请求后返回的数据（也称为“值对象”）转换为正确的客户端就绪格式。即使这样，最好还是使用前端控制器servlet或自定义标签来完成。




如何完全替换scriptlet取决于代码/逻辑的唯一目的。这段代码比以往更多地被放置在完全值得的Java类中：


如果您想在每个请求上调用相同的Java代码，则无论请求的页面如何，都应或多或少地调用它，例如检查用户是否已登录，然后实施filter并相应地在doFilter()方法中编写代码。例如。：

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
    if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
        ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
    } else {
        chain.doFilter(request, response); // Logged in, just continue request.
    }
}

当映射到覆盖感兴趣的JSP页面的适当 <url-pattern>上时，则无需在整个JSP页面上复制粘贴同一段代码。


如果您想调用一些Java代码来预处理请求，例如从数据库中预加载一些列表以显示在某个表中（如果必要）基于某些查询参数，然后实现 servlet并相应地在 doGet()方法中编写代码。例如。：

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        List<Product> products = productService.list(); // Obtain all products.
        request.setAttribute("products", products); // Store products in request scope.
        request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
    } catch (SQLException e) {
        throw new ServletException("Retrieving products failed!", e);
    }
}

这种处理异常的方法比较容易。在JSP渲染过程中不会访问DB，但是要在显示JSP之前很久才访问DB。每当数据库访问引发异常时，您仍然可以更改响应。在上面的示例中，将显示默认错误500页面，您可以通过 <error-page>中的 web.xml自定义该页面。


如果您想调用一些Java代码来对请求进行后处理，例如处理表单提交，然后实现 servlet并相应地在 doPost()方法中编写代码。例如。：

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");
    User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user); // Login user.
        response.sendRedirect("home"); // Redirect to home page.
    } else {
        request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
    }
}

这种处理不同结果页面目标的方法更加容易：在出现错误的情况下重新显示带有验证错误的表单（在此特定示例中，您可以使用 EL中的 ${message}重新显示它），或者仅转到所需的目标页面。成功案例。


如果要调用一些Java代码来控制执行计划和/或请求和响应的目的地，请根据 servlet实施 MVC's Front Controller Pattern。例如。：

protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        Action action = ActionFactory.getAction(request);
        String view = action.execute(request, response);

        if (view.equals(request.getPathInfo().substring(1)) {
            request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
        } else {
            response.sendRedirect(view);
        }
    } catch (Exception e) {
        throw new ServletException("Executing action failed.", e);
    }
}

或者只是采用诸如 JSF， Spring MVC， Wicket之类的MVC框架，这样就只需要JSP / Facelets页面和JavaBean类即可，而无需自定义servlet。


如果要调用一些Java代码来控制JSP页面内的流，则需要获取一个（现有的）流控制标记库，例如 JSTL core。例如。在表中显示 List<Product>：

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
    <c:forEach items="${products}" var="product">
        <tr>
            <td>${product.name}</td>
            <td>${product.description}</td>
            <td>${product.price}</td>
        </tr>
    </c:forEach>
</table>

使用XML样式的标签非常适合所有HTML，与一堆带有各种开合和结束大括号的scriptlet（“此结束大括号到底在哪里？”）相比，该代码具有更好的可读性（因而更易于维护）。一个简单的帮助是通过将以下内容添加到 web.xml来配置Web应用程序以在仍然使用脚本时抛出异常。

<jsp-config>
    <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
        <scripting-invalid>true</scripting-invalid>
    </jsp-property-group>
</jsp-config>

作为Java EE提供的MVC框架 Facelets的一部分，JSP的后继者 JSF中已经不可能使用scriptlet。这样，您将自动被迫以“正确的方式”做事。


如果要调用一些Java代码来访问和显示JSP页面内的“后端”数据，则需要使用EL（表达语言），这些 ${}东西。例如。重新显示提交的输入值：

<input type="text" name="foo" value="${param.foo}" />

${param.foo}显示 request.getParameter("foo")的结果。


如果要直接在JSP页面中调用一些实用Java代码（通常是 public static方法），则需要将它们定义为EL函数。 JSTL中有一个标准的 functions taglib，但 you can also easily create functions yourself。这是一个示例，JSTL fn:escapeXml如何用于防止 XSS attacks。

<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

请注意，XSS敏感性与Java / JSP / JSTL / EL /无关，无论如何，在您开发的每个Web应用程序中都需要考虑此问题。 scriptlet的问题在于，它没有提供内置的预防措施，至少没有使用标准的Java API。 JSP的继任者Facelets已经具有隐式HTML转义，因此您不必担心Facelets中的XSS漏洞。


也可以看看：


What's the difference between JSP, Servlet and JSF?
How does Servlet, ServletContext, HttpSession and HttpServletRequest/Response work?
Basic MVC example with JSP, Servlet and JDBC
Design patterns in Java web applications
Hidden features of JSP/Servlet