作为保障：永远禁用Scriptlets

正如另一个问题所讨论的，您可以并且应该始终禁用web.xml web应用程序描述符中的scriptlets。

我会一直这样做，以防止任何开发人员添加脚本，特别是在大公司中，您迟早会失去概述。web.xml设置如下所示：

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
     <scripting-invalid>true</scripting-invalid>
  </jsp-property-group>
</jsp-config>

为了避免JSP文件中的Java代码，Java现在提供了标记库，如JSTL。

此外，Java还推出了JSF，您可以将所有编程结构以标记的形式写入其中。

如果您只是想避免JSP中Java编码的缺点，那么即使使用scriples也可以这样做。只需遵循一些规则，在JSP中使用最少的Java，而在JSP页面中几乎没有计算和逻辑。

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<% // Instantiate a JSP controller
MyController clr = new MyController(request, response);

// Process action, if any
clr.process(request);

// Process page forwarding, if necessary

// Do all variable assignment here
String showMe = clr.getShowMe();%>

<html>
    <head>
    </head>
    <body>
        <form name="frm1">
            <p><%= showMe %>
            <p><% for(String str : clr.listOfStrings()) { %>
            <p><%= str %><% } %>

            // And so on   
        </form>
    </body>
</html>

从技术上讲，JSP在运行时都转换为Servlet。

JSP最初创建的目的是按照MVC模式分离业务逻辑和设计逻辑。因此，JSP在运行时技术上都是Java代码。

但为了回答这个问题，标记库通常用于将逻辑（删除Java代码）应用于JSP页面。

我的朋友，这些都不再使用了。我的建议是将视图（CSS、HTML、JavaScript等）与服务器分离。

在我的例子中，我使用Angular处理视图，并且使用REST服务从服务器获取所需的任何数据。

相信我，这将改变你的设计方式。

通过将JSTL标记与EL表达式一起使用，可以避免这种情况。在JSP页面中放置以下内容：

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/fmt" prefix="fmt" %>