作为保障：永远禁用Scriptlets

正如另一个问题所讨论的，您可以并且应该始终禁用web.xml web应用程序描述符中的scriptlets。

我会一直这样做，以防止任何开发人员添加脚本，特别是在大公司中，您迟早会失去概述。web.xml设置如下所示：

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>

JSTL为条件、循环、集合、get等提供标记。例如：

<c:if test="${someAttribute == 'something'}">
   ...
</c:if>

JSTL与请求属性一起工作——它们通常由Servlet在请求中设置，Servlet转发到JSP。

通过将JSTL标记与EL表达式一起使用，可以避免这种情况。在JSP页面中放置以下内容：

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/fmt" prefix="fmt" %>

作为保障：永远禁用Scriptlets

正如另一个问题所讨论的，您可以并且应该始终禁用web.xml web应用程序描述符中的scriptlets。

我会一直这样做，以防止任何开发人员添加脚本，特别是在大公司中，您迟早会失去概述。web.xml设置如下所示：

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>

使用Scriptlets是一种非常古老的方法，不建议使用。如果您想在JSP页面中直接输出一些内容，只需将表达式语言（EL）与JSTL一起使用即可。

还有其他选项，例如使用Velocity、Freemark、Thymelaf等模板引擎。但在大多数情况下，将普通JSP与EL和JSTL一起使用符合我的目的，对于初学者来说，这似乎也是最简单的。

此外，请注意，在视图层中执行业务逻辑不是最佳实践。您应该在服务层中执行业务逻辑，并通过控制器将输出结果传递给视图。

经验表明，JSP有一些缺点，其中之一是很难避免将标记与实际代码混合。

如果可以，那么可以考虑使用专门的技术来完成您需要做的事情。在JavaEE6中有JSF2.0，它提供了许多不错的功能，包括通过#{bean.method（argument）}方法将Javabean与JSF页面粘合在一起。