我知道像下面三行
<%= x+1 %>
<%= request.getParameter("name") %>
<%! counter++; %>
是一种老派的编码方式,在 JSP 版本 2 中,存在一种避免 JSP 文件中的 Java 代码的方法。什么是替代的 JSP 2 行,这种技术叫什么?
网友回答:
作为保护措施:永久禁用脚本
正如另一个问题正在讨论的那样,您可以并且始终应该在 Web 应用程序描述符中禁用脚本。web.xml
我总是这样做,以防止任何开发人员添加脚本,尤其是在您迟早会失去概述的大公司中。设置如下所示:web.xml
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
网友回答:
自从 2001 年 taglibs(如 JSTL)和 EL(表达式语言,这些东西)诞生以来,在 JSP 中使用脚本(这些东西)确实是非常不鼓励的。<% %>
${}
脚本的主要缺点是:
太阳Oracle 本身还建议在 JSP 编码约定中避免在 (标记) 类可能具有相同功能时使用脚本。以下是几个相关的引用:
从 JSP 1.2 规范开始,强烈建议在 Web 应用程序中使用 JSP 标准标记库 (JSTL),以帮助减少页面中对 JSP 脚本的需求。通常,使用 JSTL 的页面更易于阅读和维护。
…
在可能的情况下,只要标记库提供等效的功能,就避免使用 JSP 脚本。这使得页面更易于阅读和维护,有助于将业务逻辑与表示逻辑分开,并使页面更容易演变为 JSP 2.0 样式的页面(JSP 2.0 规范支持但不再强调脚本的使用)。
…
本着采用模型-视图-控制器 (MVC) 设计模式来减少表示层与业务逻辑之间的耦合的精神,JSP 脚本不应用于编写业务逻辑。相反,如果需要,可以使用 JSP 脚本将处理客户端请求返回的数据(也称为“值对象”)转换为正确的客户端就绪格式。即便如此,这最好使用前端控制器 servlet 或自定义标记来完成。
如何完全替换脚本完全取决于代码/逻辑的唯一目的。通常,此代码应放置在一个完整的 Java 类中:
doFilter()
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
} else {
chain.doFilter(request, response); // Logged in, just continue request.
}
}
当映射到适当的覆盖感兴趣的 JSP 页面上时,您不需要复制粘贴相同的代码段整个 JSP 页面。<url-pattern>
doGet()
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
List<Product> products = productService.list(); // Obtain all products.
request.setAttribute("products", products); // Store products in request scope.
request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
} catch (SQLException e) {
throw new ServletException("Retrieving products failed!", e);
}
}
这样处理异常就更容易了。数据库不是在 JSP 渲染过程中访问的,而是在显示 JSP 之前很久。您仍然可以在数据库访问引发异常时更改响应。在上面的示例中,将显示默认错误 500 页面,您无论如何都可以通过 in 自定义该页面。<error-page>
web.xml
doPost()
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
User user = userService.find(username, password);
if (user != null) {
request.getSession().setAttribute("user", user); // Login user.
response.sendRedirect("home"); // Redirect to home page.
} else {
request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
}
}
通过这种方式,处理不同的结果页面目标更容易:在出现错误时重新显示带有验证错误的表单(在此特定示例中,您可以在EL中使用重新显示它),或者在成功的情况下仅转到所需的目标页面。${message}
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
Action action = ActionFactory.getAction(request);
String view = action.execute(request, response);
if (view.equals(request.getPathInfo().substring(1)) {
request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
} else {
response.sendRedirect(view);
}
} catch (Exception e) {
throw new ServletException("Executing action failed.", e);
}
}
或者只是采用像JSF,Spring MVC,Wicket等MVC框架,这样你最终只需要一个JSP / Facelet页面和一个JavaBean类,而不需要自定义servlet。
List<Product>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
<c:forEach items="${products}" var="product">
<tr>
<td>${product.name}</td>
<td>${product.description}</td>
<td>${product.price}</td>
</tr>
</c:forEach>
</table>
使用XML样式的标签,非常适合所有HTML中,代码比一堆带有各种左大括号和右大括号的脚本更好可读(因此更易于维护)(“这个右大括号到底属于哪里?”)。一个简单的帮助是将以下部分添加到:web.xml
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
在 Facelets 中,JSP 的继承者是 Java EE 提供的 MVC 框架 JSF 的一部分,已经无法使用脚本。这样,你就会自动被迫以“正确的方式”做事。
${}
<input type="text" name="foo" value="${param.foo}" />
显示 的结果。${param.foo}
request.getParameter("foo")
public static
fn:escapeXml
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />
请注意,XSS敏感度与Java/JSP/JSTL/EL/无关,在你开发的每个Web应用程序中都需要考虑到这个问题。scriptlet 的问题在于它没有提供内置的预防方法,至少不使用标准的 Java API。JSP的继任者Facelets已经隐含了HTML转义,所以你不需要担心Facelets中的XSS漏洞。
网友回答:
JSTL 为条件、循环、集合、获取等提供标签。例如:
<c:if test="${someAttribute == 'something'}">
...
</c:if>
JSTL 使用请求属性 – 它们通常由转发给 JSP 的 Servlet 在请求中设置。
模板简介:该模板名称为【存在一种避免 JSP 文件中的 Java 代码的方法。什么是替代的 JSP 2 行,这种技术叫什么?】,大小是暂无信息,文档格式为.编程语言,推荐使用Sublime/Dreamweaver/HBuilder打开,作品中的图片,文字等数据均可修改,图片请在作品中选中图片替换即可,文字修改直接点击文字修改即可,您也可以新增或修改作品中的内容,该模板来自用户分享,如有侵权行为请联系网站客服处理。欢迎来懒人模板【Java】栏目查找您需要的精美模板。