如何解决如何使用 JSP 2 避免 JSP 文件中的 Java 代码?
自 2001 年标记库(如JSTL)和EL表达式语言,那些东西)诞生以来,确实非常不鼓励在[SP用scriptlet(那些东西)。<% %>``${}
Scriptlet的主要缺点是:
- 您不能重用脚本。
- 你不能使 scriptlet 抽象。
- 你不能利用继承/组合。
- 如果 scriptlet 中途抛出异常,你得到的只是一个空白页。
- scriptlet 不可单元测试。
- 每个 Saldo 都需要更多时间来维护混合/杂乱/重复的代码逻辑。
Sun Oracle 本身也建议在JSP 编码约定中避免使用scriptlet ,只要(标记)类可以实现相同的功能。以下是一些相关的引用:
从 JSP 1.2 规范开始,强烈建议在您的 Web 应用程序中使用 JSP 标准标记库 (JSTL),以帮助页面中对 JSP scriptlet 的需求。使用 JSTL 的页面通常更易于阅读和维护。
…
只要标签库提供等效功能,就尽可能这使页面更易于阅读和维护,有助于将业务逻辑与表示逻辑分开,并使您的页面更容易演变为 JSP 2.0 样式的页面(JSP 2.0 规范支持但不强调使用 scriptlet)。
…
本着采用模型-视图-控制器 (MVC) 设计模式来减少表示层与业务逻辑之间的耦合的精神,来编写业务逻辑。相反,如果需要,可以使用 JSP 脚本将处理客户端请求返回的数据(也称为“值对象”)转换为适当的客户端就绪格式。即便如此,最好使用前端控制器 servlet 或自定义标记来完成。
- 如果您想在每个请求上调用的Java 代码,无论请求的页面如何,都或多或少,例如检查用户是否登录,然后实现过滤器并在方法中相应地编写代码。例如:
doFilter()
java
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
} else {
chain.doFilter(request, response); // Logged in, just continue request.
}
}
当映射到一个适当<url-pattern>
的覆盖感兴趣的 JSP 页面时,您不需要复制粘贴同一段代码整个 JSP 页面。
- 如果你想调用一些Java代码来,例如从数据库中预加载一些列表以显示在一些表中,如果需要基于一些查询参数,那么实现一个servlet
doGet()
并在方法中相应地编写代码。例如:
java
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
List<Product> products = productService.list(); // Obtain all products.
request.setAttribute("products", products); // Store products in request scope.
request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
} catch (SQLException e) {
throw new ServletException("Retrieving products failed!", e);
}
}
这种方式处理异常更容易。在 JSP 呈现过程中不访问 DB,但在显示 JSP 之前很长时间。每当数据库访问引发异常时,您仍然可以更改响应。在上面的示例中,将显示默认错误 500 页面,您可以通过<error-page>
in自定义该页面web.xml
。
- 如果您想调用一些 Java 代码来,例如从提交的 HTML 表单中收集数据并用它做一些业务(转换、验证、保存在 DB 中等),那么实现一个servlet并相应地编写代码在
doPost()
方法。例如:
```java protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter(“username”); String password = request.getParameter(“password”); User user = userService.find(username, password);
if (user != null) {
request.getSession().setAttribute("user", user); // Login user.
response.sendRedirect("home"); // Redirect to home page.
} else {
request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
}
}
```
这种处理不同结果页面目标的方式更容易:在出现错误时重新显示带有验证错误的表单(在这个特定的示例中,您可以使用EL${message}
重新显示它),或者在成功的情况下只进入所需的目标页面。
- 如果你想调用一些 Java 代码来执行计划和/或请求和响应的目的地,那么根据MVC 的 Front Controller Pattern实现一个servlet。例如:
```java protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { try { Action action = ActionFactory.getAction(request); String view = action.execute(request, response);
if (view.equals(request.getPathInfo().substring(1)) {
request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
} else {
response.sendRedirect(view);
}
} catch (Exception e) {
throw new ServletException("Executing action failed.", e);
}
}
```
或者只是采用 MVC 框架,如JSF、Spring MVC、Wicket等,这样您最终只需要一个 JSP/Facelets 页面和一个 JavaBean 类,而无需自定义 servlet。
- 如果您想调用一些 Java 代码来JSP 页面内的流程,那么您需要获取一个(现有的)流程控制标签库,如JSTL core。例如
List<Product>
在表格中显示:
html
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
<c:forEach items="${products}" var="product">
<tr>
<td>${product.name}</td>
<td>${product.description}</td>
<td>${product.price}</td>
</tr>
</c:forEach>
</table>
使用与所有 HTML 完美匹配的 XML 样式标签,代码比一堆带有各种左大括号和右大括号的 scriptlet 更易读(因此更易于维护)(“这个右大括号到底属于哪里?”)。一个简单的帮助是配置您的 Web 应用程序,以便在仍然使用scriptlet时抛出异常,方法是将以下部分添加到web.xml
:
xml
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
在JSP 的继承者Facelets中,它是 Java EE 提供的 MVC 框架JSF的一部分,已经使用scriptlets了。这样,您就会自动被迫以“正确的方式”做事。
- 如果您想调用一些 Java 代码来JSP 页面内的“后端”数据,那么您需要使用 EL(表达式语言),这些
${}
东西。例如重新显示提交的输入值:
html
<input type="text" name="foo" value="${param.foo}" />
显示${param.foo}
的结果request.getParameter("foo")
。
- 如果您想直接在 JSP 页面中调用一些
public static
Java 代码(通常是方法),那么您需要将它们定义为 EL 函数。JSTL 中有一个标准的函数标签库,但您也可以轻松地自己创建函数。fn:escapeXml
这是一个 JSTL 如何用于防止XSS 攻击的示例。
html
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />
Web 应用程序中都需要考虑这个问题。scriptlet的问题在于它没有提供内置预防措施,至少不使用标准 Java API。JSP 的继任者 Facelets 已经隐式 HTML 转义,因此您无需担心 Facelets 中的 XSS 漏洞。
解决方法
我是 Java EE 的新手,我知道类似于以下三行
<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>
是一种老式的编码方式,在 JSP 版本 2 中存在一种避免在 JSP 文件中使用 Java 代码的方法。什么是替代的 JSP 2 行,这种技术叫什么?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。