避免在JSP中寫java代碼

作者：蝸牛學院CTO李懿老師

 

​自從十年前的taglibs（如JSTL）和EL（表達語言，這些事情）誕生以來，在JSP中使用scriptlet（<% %>這些東西）的確是非常不鼓勵的。

 

小腳本的主要缺點是：

 

1. 可重用性：不能重復使用scriptlet。

2. 可替換性：不能使scriptlet抽象。

3. OO能力：不能使用繼承/組合。

4. Debuggability：如果scriptlet在中途拋出異常，那么你所得到的只是一個空白的頁面。

5. 可測試性： scriptlet不能單元測試。

6. 可維護性：為了保持混合/混亂/重復的代碼邏輯，需要更多的時間。

7. 可讀性：在HTML代碼中嵌入<%%>的小腳本讓代碼看上去更復雜、更難懂。

 

Oracle本身也建議使用JSP編碼約定，以避免在（tag）類可以使用相同的功能時使用scriptlet。這里有幾個相關的引用：

從JSP 1.2規范中，強烈建議在Web應用程序中使用JSP標准庫（JSTL），以減少對頁面中JSP腳本的需求。

使用JSTL的頁面通常更容易閱讀和維護。

...

 

在可能的情況下，每當標簽庫提供相同的功能時，避免使用JSP腳本 這使得頁面更容易閱讀和維護，有助於將業務邏輯與表示邏輯分開，並將使頁面更容易演進為JSP 2.0樣式頁面（JSP 2.0規范支持但不強調使用scriptlet）。

...

 

本着以采用模型視圖控制器（MVC）設計模式來減少業務邏輯表示層之間耦合的精神，JSP腳本不應該用於編寫業務邏輯。相反，如果需要，可以使用JSP腳本來將從客戶端請求處理返回的數據（也稱為“值對象”）轉換為適當的客戶端需求格式。這將更好地使用前端控制器servlet或自定義標簽。

 

如何替換scriptlet完全取決於代碼/邏輯的唯一目的。這個代碼經常被放置在一個完整的Java類中：

· 如果要在每個請求上調用相同的 Java代碼，不管請求的頁面是多少，比如檢查用戶是否登錄，則在方法中實現過濾器並相應地編寫代碼。例如：doFilter()

· publicvoid doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throwsServletException, IOException {

· if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {

·         ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.

·     } else {

·         chain.doFilter(request, response); // Logged in, just continue request.

·     }

}

 

當映射到適當的<url-pattern>所關聯的JSP頁面時，您不需要在所有JSP頁面上共享相同的代碼片段。

· 如果要調用一些Java代碼來預處理請求，例如從數據庫中預先加載某些列表顯示在某些表格中，如有必要，則根據某些查詢參數，然后在方法中相應地實現servlet並編寫代碼doGet()。例如：

· protectedvoid doGet(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· try {

· List<Product> products = productService.list(); // Obtain all products.

·         request.setAttribute("products", products); // Store products in request scope.

·         request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.

·     } catch (SQLException e) {

· thrownewServletException("Retrieving products failed!", e);

·     }

}

 

這樣處理異常更容易。在JSP渲染過程中，DB不被訪問，但是在顯示JSP之前，當DB訪問引發異常時，您仍然可以更改響應。

在上面的例子中，默認的錯誤500頁面將被顯示，你可以通過一個<error-page>in web.xml。

如果要調用一些Java代碼來處理請求，例如處理表單提交，則在方法中實現一個servlet並相應地編寫代碼doPost()。

· 例如：

· protectedvoid doPost(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· String username = request.getParameter("username");

· String password = request.getParameter("password");

· User user = userService.find(username, password);

· 

· if (user != null) {

·         request.getSession().setAttribute("user", user); // Login user.

·         response.sendRedirect("home"); // Redirect to home page.

·     } else {

·         request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.

·         request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.

·     }

}

 

通過這種方式處理不同結果頁面的目的地更容易：重新顯示在一個錯誤的情況下驗證錯誤的形式（在這個特殊的例子，你可以使用重新顯示${message}在EL），或只是把到所需的目標頁面在成功的情況下驗證。

· 如果要調用一些Java代碼來控制請求和響應的執行計划和/或目標，則根據MVC的前端控制器模式實現一個servlet。例如：

· protectedvoid service(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {

· try {

· Action action = ActionFactory.getAction(request);

· String view = action.execute(request, response);

· 

· if (view.equals(request.getPathInfo().substring(1)) {

·             request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);

·         } else {

·             response.sendRedirect(view);

·         }

·     } catch (Exception e) {

· thrownewServletException("Executing action failed.", e);

·     }

}

 

或者只是采用像JSF，Spring MVC，Wicket等這樣的MVC框架，所以你只需要一個JSP / Facelets頁面和一個Javabean類，而不需要一個自定義的servlet。

· 如果要調用一些Java代碼來控制 JSP頁面中的流程，那么就需要像JSTL內核那樣獲取一個（現有的）流控制taglib 。例如List<Product>：

· <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>

· ...

· <table>

· <c:forEachitems="${products}"var="product">

· <tr>

· <td>${product.name}</td>

· <td>${product.description}</td>

· <td>${product.price}</td>

· </tr>

· </c:forEach>

</table>

 

使用適合所有這些HTML的XML樣式標簽，代碼比一堆具有不同打開和關閉括號的“script”屬於更好的可讀性（因此可維護性更好）。一個簡單的幫助是配置您的Web應用程序，以便在使用scriptlet時拋出異常，將以下內容添加到web.xml：

<jsp-config>

<jsp-property-group>

<url-pattern>*.jsp</url-pattern>

<scripting-invalid>true</scripting-invalid>

</jsp-property-group>

</jsp-config>

 

在Facelets的，JSP繼任者，這是Java EE提供的MVC框架的一部分JSF，它已經不能夠使用小腳本。這樣你就被自動地強制做“正確的方式”。

· 如果要調用一些Java代碼來訪問並在JSP頁面中顯示 “后端”數據，則需要使用EL（表達式語言）這些東西。提交的輸入值，例如重新顯示：

<inputtype="text"name="foo"value="${param.foo}"/>

 

該${param.foo}顯示器的結果request.getParameter("foo")。

· 如果要在JSP頁面（通常是方法）中直接調用一些實用程序 Java代碼public static，那么需要將它們定義為EL函數。JSTL中有一個標准函數taglib，可以輕松地自己創建函數。以下是JSTL如何fn:escapeXml有效防止XSS 攻擊的示例。

· <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>

· ...

<inputtype="text"name="foo"value="${fn:escapeXml(param.foo)}"/>

 

請注意，XSS敏感性與Java / JSP / JSTL / EL /無關，這個問題需要在你開發的每個 Web應用程序中考慮。scriptlet的問題在於它不提供內置的預防方法，至少不使用標准的Java API。JSP的繼任者Facelets已經隱式HTML轉義，所以大家不需要擔心Facelets中的XSS漏洞。

 

 

挖礦搬磚不如IT碼農，輕松轉行還看蝸牛學院。

蝸牛學院 專注於IT職業教育，輕松轉行，簡學易懂；免費試學，親身體驗；商業項目親自操刀，與名企零距離接觸；應屆生就業薪資6000起，年薪10萬不是事，漲幅絕比房價高。