作者:李懿老师
自从十年前的taglibs(如JSTL)和EL(表达语言,这些事情)诞生以来,在JSP中使用let(这些东西)的确是非常不鼓励的。
小脚本的主要缺点是:
1. 可重用性:不能重复使用let。
2. 可替换性:不能使let抽象。
3. OO能力:不能使用继承/组合。
4. Debuggability:如果let在中途抛出异常,那么你所得到的只是一个空白的页面。
5. 可测试性: let不能单元测试。
6. 可维护性:为了保持混合/混乱/重复的代码逻辑,需要更多的时间。
7. 可读性:在HTML代码中嵌入的小脚本让代码看上去更复杂、更难懂。
Oracle本身也建议使用JSP编码约定,以避免在(tag)类可以使用相同的功能时使用let。这里有几个相关的引用:
从JSP 1.2规范中,强烈建议在Web应用程序中使用JSP标准库(JSTL),以减少对页面中JSP脚本的需求。
使用JSTL的页面通常更容易阅读和维护。
...
在可能的情况下,每当标签库提供相同的功能时,避免使用JSP脚本这使得页面更容易阅读和维护,有助于将业务逻辑与表示逻辑分开,并将使页面更容易演进为JSP 2.0样式页面(JSP 2.0规范支持但不强调使用let)。
...
本着以采用模型视图控制器(MVC)设计模式来减少业务逻辑表示层之间耦合的精神,JSP脚本不应该用于编写业务逻辑。相反,如果需要,可以使用JSP脚本来将从客户端请求处理返回的数据(也称为“值对象”)转换为适当的客户端需求格式。这将更好地使用前端控制器servlet或自定义标签。
如何替换let完全取决于代码/逻辑的唯一目的。这个代码经常被放置在一个完整的Java类中:
· 如果要在每个请求上调用相同的 Java代码,不管请求的页面是多少,比如检查用户是否登录,则在方法中实现过滤器并相应地编写代码。例如:
doFilter()
· publicvoid doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throwsServletException, IOException {
· if (((HttpServletRequest) request).getSession().getAttribute("user") == null) {
· ((HttpServletResponse) response).sendRedirect("login"); // Not logged in, redirect to login page.
· } else {
· chain.doFilter(request, response); // Logged in, just continue request.
· }
}当映射到适当的所关联的JSP页面时,您不需要在所有JSP页面上共享相同的代码片段。
· 如果要调用一些Java代码来预处理请求,例如从数据库中预先加载某些列表显示在某些表格中,如有必要,则根据某些查询参数,然后在方法中相应地实现servlet并编写代码doGet()。例如:
· protectedvoid doGet(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {
· try {
· List products = productService.list(); // Obtain all products.
· request.setAttribute("products", products); // Store products in request scope.
· request.getRequestDispatcher("/WEB-INF/products.jsp").forward(request, response); // Forward to JSP page to display them in a HTML table.
· } catch (SQLException e) {
· thrownewServletException("Retrieving products failed!", e);
· }
}这样处理异常更容易。在JSP渲染过程中,DB不被访问,但是在显示JSP之前,当DB访问引发异常时,您仍然可以更改响应。
在上面的例子中,默认的错误500页面将被显示,你可以通过一个in web.xml。
如果要调用一些Java代码来处理请求,例如处理表单提交,则在方法中实现一个servlet并相应地编写代码doPost()。
· 例如:
· protectedvoid doPost(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {
· String username = request.getParameter("username");
· String password = request.getParameter("password");
· User user = userService.find(username, password);
·
· if (user != null) {
· request.getSession().setAttribute("user", user); // Login user.
· response.sendRedirect("home"); // Redirect to home page.
· } else {
· request.setAttribute("message", "Unknown username/password. Please retry."); // Store error message in request scope.
· request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response); // Forward to JSP page to redisplay login form with error.
· }
}通过这种方式处理不同结果页面的目的地更容易:重新显示在一个错误的情况下验证错误的形式(在这个特殊的例子,你可以使用重新显示${message}在EL),或只是把到所需的目标页面在成功的情况下验证。
· 如果要调用一些Java代码来控制请求和响应的执行计划和/或目标,则根据MVC的前端控制器模式实现一个servlet。例如:
· protectedvoid service(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {
· try {
· Action action = ActionFactory.getAction(request);
· String view = action.execute(request, response);
·
· if (view.equals(request.getPathInfo().substring(1)) {
· request.getRequestDispatcher("/WEB-INF/" + view + ".jsp").forward(request, response);
· } else {
· response.sendRedirect(view);
· }
· } catch (Exception e) {
· thrownewServletException("Executing action failed.", e);
· }
}或者只是采用像JSF,Spring MVC,Wicket等这样的MVC框架,所以你只需要一个JSP / Facelets页面和一个Javabean类,而不需要一个自定义的servlet。
· 如果要调用一些Java代码来控制 JSP页面中的流程,那么就需要像JSTL内核那样获取一个(现有的)流控制taglib 。例如List:
·
· ...
·
·
·
·
${product.name}
·
${product.deion}
·
${product.price}
·
·
使用适合所有这些HTML的XML样式标签,代码比一堆具有不同打开和关闭括号的“”属于更好的可读性(因此可维护性更好)。一个简单的帮助是配置您的Web应用程序,以便在使用let时抛出异常,将以下内容添加到web.xml:
*.jsp
true
在Facelets的,JSP继任者,这是Java EE提供的MVC框架的一部分JSF,它已经不能够使用小脚本。这样你就被自动地强制做“正确的方式”。
· 如果要调用一些Java代码来访问并在JSP页面中显示 “后端”数据,则需要使用EL(表达式语言)这些东西。提交的输入值,例如重新显示:
该${param.foo}显示器的结果request.getParameter("foo")。
· 如果要在JSP页面(通常是方法)中直接调用一些实用程序 Java代码public static,那么需要将它们定义为EL函数。JSTL中有一个标准函数taglib,可以轻松地自己创建函数。以下是JSTL如何fn:escapeXml有效防止XSS 攻击的示例。
·
· ...
请注意,XSS敏感性与Java / JSP / JSTL / EL /无关,这个问题需要在你开发的每个 Web应用程序中考虑。let的问题在于它不提供内置的预防方法,至少不使用标准的Java API。JSP的继任者Facelets已经隐式HTML转义,所以大家不需要担心Facelets中的XSS漏洞。
