如何避免JSP文件中的Java代码?

如何避免JSP文件中的Java代码?

如何完全替换scriptlet取决于代码/逻辑的唯一目的。此代码通常被置于一个完整的Java类中:

  • 如果要在每个请求上调用相同的 Java代码,则不管请求的页面是否少于或多,例如检查用户是否已登录,然后实现过滤器并在方法中相应地编写代码。例如:doFilter()
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException {
    if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
        ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
    } else {
        chain.doFilter(request, response); // Logged in, just continue request.
    }
}

当映射到适当的覆盖感兴趣的JSP页面时,您不需要在所有JSP页面上复制相同的代码段。

  • 如果要调用某些Java代码来预处理请求,例如,从数据库预加载某些列表以显示在某个表中,必要时根据某些查询参数,然后实现servlet并在doGet()方法中相应地编写代码。例如:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        List<Product> products = productService.list(); // Obtain all products.
        request.setAttribute("products", products); // Store products in request scope.
        request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
    } catch (SQLException e) {
        throw new ServletException("Retrieving products failed!", e);
    }
}

这种处理异常的方式更容易。在JSP渲染过程中不会访问DB,但是在JSP显示之前。每当数据库访问引发异常时,您仍然可以更改响应。在上面的示例中,将显示默认错误500页面,您可以通过输入进行自定义web.xml。

  • 如果要调用某些Java代码来处理请求,例如处理表单提交,则实现servlet并在doPost()方法中相应地编写代码。例如:
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");
    User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user); // Login user.
        response.sendRedirect("home"); // Redirect to home page.
    } else {
        request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
    }
}

通过这种方式处理不同的结果页面的目的地更容易:重新显示在一个错误的情况下验证错误的形式(在这个特殊的例子,你可以使用重新显示${message}在EL),或只是把到所需的目标页面在成功的情况下。

  • 如果要调用某些Java代码来控制请求和响应的执行计划和/或目标,则根据MVC的前端控制器模式实现servlet。例如:
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    try {
        Action action = ActionFactory.getAction(request);
        String view = action.execute(request, response);

        if (view.equals(request.getPathInfo().substring(1)) {
            request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
        } else {
            response.sendRedirect(view);
        }
    } catch (Exception e) {
        throw new ServletException("Executing action failed.", e);
    }
}

或者只是采用一个MVC框架,如JSF,Spring MVC,Wicket等,这样你最终只需要一个JSP / Facelets页面和一个Javabean类,而不需要自定义的servlet。

  • 如果要调用某些Java代码来控制 JSP页面内的流,那么您需要获取(现有的)流控制标记库,如JSTL核心。例如List<Product>,在表格中显示:
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
...
<table>
    <c:forEach items="${products}" var="product">
        <tr>
            <td>${product.name}</td>
            <td>${product.description}</td>
            <td>${product.price}</td>
        </tr>
    </c:forEach>
</table>

使用XML样式的标签可以很好地适应所有HTML,代码比具有各种打开和关闭括号的一堆scriptlet更具可读性(因此更易于维护)(“这个结束括号属于哪个?”)。一个简单的帮助是配置您的Web应用程序,以便在使用scriptlet时通过添加以下部分来抛出异常web.xml:

<jsp-config>
    <jsp-property-group>
        <url-pattern>*.jsp</url-pattern>
        <scripting-invalid>true</scripting-invalid>
    </jsp-property-group>
</jsp-config>

在Facelets的,JSP的继任者,这是Java EE提供的MVC框架的一部分JSF,它已经不能够使用小脚本。这样你就会被迫以“正确的方式”做事。

  • 如果要调用某些Java代码来访问和显示 JSP页面中的“后端”数据,那么您需要使用EL(表达式语言)这些${}东西。例如,重新显示提交的输入值:
<input type="text" name="foo" value="${param.foo}" />

该${param.foo}显示器的结果request.getParameter("foo")

  • 如果要直接在JSP页面中调用某些实用程序 Java代码(通常是public static方法),则需要将它们定义为EL函数。JSTL中有一个标准函数taglib,但您也可以自己轻松创建函数。以下是JSTL如何fn:escapeXml有效防止XSS 攻击的示例。
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
...
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

请注意,XSS灵敏度绝不与Java / JSP / JSTL / EL / 无关,在您开发的每个 Web应用程序中都需要考虑此问题。scriptlet的问题在于它无法提供内置预防,至少不使用标准Java API。JSP的后继者Facelets已经隐式HTML转义,因此您不必担心Facelets中的XSS漏洞。