自 2001 年标记库（如JSTL）和EL表达式语言，那些东西）诞生以来，确实非常不鼓励在[SP用scriptlet（那些东西）。<% %>``${}

Scriptlet的主要缺点是：

1. 可重用性：您不能重用脚本。
2. 可替换性：你不能使 scriptlet 抽象。
3. OO能力：你不能利用继承/组合。
4. 可调试性：如果 scriptlet 中途抛出异常，你得到的只是一个空白页。
5. 可测试性： scriptlet 不可单元测试。
6. 可维护性：每个 Saldo 都需要更多时间来维护混合/杂乱/重复的代码逻辑。

Sun Oracle 本身也建议在JSP 编码约定中避免使用scriptlet ，只要（标记）类可以实现相同的功能。以下是一些相关的引用：

从 JSP 1.2 规范开始，强烈建议在您的 Web 应用程序中使用 JSP 标准标记库 (JSTL)，以帮助减少页面中对 JSP scriptlet 的需求。使用 JSTL 的页面通常更易于阅读和维护。

…

只要标签库提供等效功能，就尽可能避免使用 JSP scriptlet 。这使页面更易于阅读和维护，有助于将业务逻辑与表示逻辑分开，并使您的页面更容易演变为 JSP 2.0 样式的页面（JSP 2.0 规范支持但不强调使用 scriptlet）。

…

本着采用模型-视图-控制器 (MVC) 设计模式来减少表示层与业务逻辑之间的耦合的精神，不应使用 JSP 脚本来编写业务逻辑。相反，如果需要，可以使用 JSP 脚本将处理客户端请求返回的数据（也称为“值对象”）转换为适当的客户端就绪格式。即便如此，最好使用前端控制器 servlet 或自定义标记来完成。

如何替换*scriptlet*完全取决于代码/逻辑的唯一目的。这段代码经常被放在一个完全有价值的 Java 类中：

• 如果您想在每个请求上调用相同的Java 代码，无论请求的页面如何，都或多或少，例如检查用户是否登录，然后实现过滤器并在方法中相应地编写代码。例如：doFilter()

java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { if (((HttpServletRequest) request).getSession().getAttribute("user") == null) { ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page. } else { chain.doFilter(request, response); // Logged in, just continue request. } }

当映射到一个适当<url-pattern>的覆盖感兴趣的 JSP 页面时，您不需要复制粘贴同一段代码整个 JSP 页面。

• 如果你想调用一些Java代码来处理一个GET请求，例如从数据库中预加载一些列表以显示在一些表中，如果需要基于一些查询参数，那么实现一个servletdoGet()并在方法中相应地编写代码。例如：

java protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { try { List<Product> products = productService.list(); // Obtain all products. request.setAttribute("products", products); // Store products in request scope. request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table. } catch (SQLException e) { throw new ServletException("Retrieving products failed!", e); } }

这种方式处理异常更容易。在 JSP 呈现过程中不访问 DB，但在显示 JSP 之前很长时间。每当数据库访问引发异常时，您仍然可以更改响应。在上面的示例中，将显示默认错误 500 页面，您可以通过<error-page>in自定义该页面web.xml。

• 如果您想调用一些 Java 代码来处理 POST 请求，例如从提交的 HTML 表单中收集数据并用它做一些业务（转换、验证、保存在 DB 中等），那么实现一个servlet并相应地编写代码在doPost()方法。例如：

```java
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter(“username”);
String password = request.getParameter(“password”);
User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user); // Login user.
        response.sendRedirect("home"); // Redirect to home page.
    } else {
        request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
    }
}

```

这种处理不同结果页面目标的方式更容易：在出现错误时重新显示带有验证错误的表单（在这个特定的示例中，您可以使用EL${message}重新显示它），或者在成功的情况下只进入所需的目标页面。

• 如果你想调用一些 Java 代码来控制执行计划和/或请求和响应的目的地，那么根据MVC 的 Front Controller Pattern实现一个servlet。例如：

```java
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
try {
Action action = ActionFactory.getAction(request);
String view = action.execute(request, response);

        if (view.equals(request.getPathInfo().substring(1)) {
            request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
        } else {
            response.sendRedirect(view);
        }
    } catch (Exception e) {
        throw new ServletException("Executing action failed.", e);
    }
}

```

或者只是采用 MVC 框架，如JSF、Spring MVC、Wicket等，这样您最终只需要一个 JSP/Facelets 页面和一个 JavaBean 类，而无需自定义 servlet。

• 如果您想调用一些 Java 代码来控制JSP 页面内的流程，那么您需要获取一个（现有的）流程控制标签库，如JSTL core。例如List<Product>在表格中显示：

html <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %> ... <table> <c:forEach items="${products}" var="product"> <tr> <td>${product.name}</td> <td>${product.description}</td> <td>${product.price}</td> </tr> </c:forEach> </table>

使用与所有 HTML 完美匹配的 XML 样式标签，代码比一堆带有各种左大括号和右大括号的 scriptlet 更易读（因此更易于维护）（“这个右大括号到底属于哪里？”）。一个简单的帮助是配置您的 Web 应用程序，以便在仍然使用scriptlet时抛出异常，方法是将以下部分添加到web.xml：

xml <jsp-config> <jsp-property-group> <url-pattern>*.jsp</url-pattern> <scripting-invalid>true</scripting-invalid> </jsp-property-group> </jsp-config>

在JSP 的继承者Facelets中，它是 Java EE 提供的 MVC 框架JSF的一部分，已经不可能使用scriptlets了。这样，您就会自动被迫以“正确的方式”做事。

• 如果您想调用一些 Java 代码来访问和显示JSP 页面内的“后端”数据，那么您需要使用 EL（表达式语言），这些${}东西。例如重新显示提交的输入值：

html <input type="text" name="foo" value="${param.foo}" />

显示${param.foo}的结果request.getParameter("foo")。

• 如果您想直接在 JSP 页面中调用一些实用public staticJava 代码（通常是方法），那么您需要将它们定义为 EL 函数。JSTL 中有一个标准的函数标签库，但您也可以轻松地自己创建函数。fn:escapeXml这是一个 JSTL 如何用于防止XSS 攻击的示例。

html <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %> ... <input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

请注意，XSS 敏感性与 Java/JSP/JSTL/EL/无论如何都没有特别的关系，在您开发的每个Web 应用程序中都需要考虑这个问题。scriptlet的问题在于它没有提供内置预防措施，至少不使用标准 Java API。JSP 的继任者 Facelets 已经隐式 HTML 转义，因此您无需担心 Facelets 中的 XSS 漏洞。