Недавно я прочитал, как отключить скриптинг для всего приложения, добавив следующие элементы в файл web.xml:
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<scripting-invalid>true</scripting-invalid>
</jsp-property-group>
</jsp-config>
Далее говорилось, что это заставляет вас всегда использовать стандартные теги JSP, EL и JSTL вместо сценариев, но не определяет "scripting". У меня создалось впечатление, что EL - это форма написания сценариев, и теперь мне остается недоумевать, что я не могу сделать точно после отключения сценариев?
Отключает scriptlets (<% %>), выражения сценария (<%= %>) и объявления сценария (<%! %>), что является способом встраивания исходного кода Java внутри JSP файл. Использование scriptlets действительно обескуражило с момента рождения taglibs/EL в пользу лучшего читаемого и поддерживаемого кода.
Он отключает скрипты, который является, в основном, java-кодом в JSP, например.
<% request.getAttribute( "bob" ); % >
не будет разрешено.
JSTL, EL и т.д. все будут работать нормально.