我最近阅读了如何通过向web.xml文件添加以下元素来禁用整个应用程序的脚本: jsp-config jsp-property-group url-pattern*.jsp/url-pattern scripting-invalidtrue/scripting-invalid /jsp-property-group/jsp-config 它继续
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
它继续说明这样做会迫使你总是使用标准JSP标签,EL和JSTL而不是脚本,但它没有定义“脚本”.我的印象是EL是一种脚本形式,现在我想知道在我禁用脚本之后我不能做到什么?
它禁用 scriptlets(< %%>), scriptlet expressions(<%=%>)和 scriptlet declarations(<%!%>),这是一种在JSP文件中嵌入原始Java代码的方法.自taglibs / EL诞生以来,使用scriptlet确实是 discouraged,有利于更好的可读性和可维护性代码.也可以看看:
> Java EE 5 tutorial – disabling scripting