Любые типы безопасных альтернатив шаблону JSP

Question

Есть ли что-то более безопасное, чем JSP? Я не нашел значимых ответов через Google. В настоящее время мы используем среду Spring MVC и JSP для рендеринга HTML. Я ненавидел динамический характер JSP-рендеринга, поскольку вы ссылаетесь на модель типа ${model.someAttribute}, но не можете сказать, доступен ли этот атрибут в данном модуле или задает тип модели, которую ожидает шаблон. Очень сложно реорганизовать геттеры моделей, поскольку Eclipse не знает, какие шаблоны используют модель, а также не могут связывать геттеры с аксессуарами свойств в шаблонах.

Есть ли там технология шаблонов, которая является менее уродливой, чем выплескивание HTML-кода через императивный код и более безопасный тип/компиляция, чем JSP?

Answer 1

Lift (на основе Scala) предлагает очень приятную модель с хорошим разделением компоновки HTML из реального кода приложения (так называемые фрагменты). В то время как барьер для входа может выглядеть высоко вначале, выигрыш действительно большой в несколько более долгосрочной перспективе. Один большой потенциал заключается в том, что он работает на JVM, поэтому вы можете повторно использовать большинство своих Java-библиотек и другого кода.

Answer 2

Я считаю, что цели JXT включают в себя как безопасность безопасности XSS, так и тип модели безопасности, и она была разработана для того, чтобы легко перейти с JSP.

Их описание pipeline объясняет, что их выражения более тесно связаны с выражениями Java, поэтому вы получите ошибки типа Java-esque, если ваши выражения имеют несоответствие типов.

Answer 3

Вы можете использовать подсказки типа, например. type attribute в jsp: useBean и в объявлениях атрибутов файлов тегов JSP (и, вероятно, в других местах, таких как теги JSTL). IntelliJ затем сделает для вас все хорошие статические типы (точные предложения о завершении кода, рефакторинг, поиск, быстрый просмотр javadoc и т. Д.).

Я недавно написал об этом в контексте JSP tag files.

Answer 4

На самом деле он не использовался, но Twirl (https://www.playframework.com/documentation/2.5.x/JavaTemplates) называет себя «безопасным шаблоном для шаблонов на основе Scala» (по-видимому, может использоваться в Play для Java).

Цитата:

Безопасный тип шаблона движок, основанный на Scala Play поставляется с Twirl, мощный шаблонизатор Scala на основе, дизайн которого был вдохновлен ASP.NET Razor. В частности, это:

компактный, выразительный и жидкий: он минимизирует количество символов и нажатие клавиш, требуемых в файле, и обеспечивает быстрый рабочий процесс с жидкостью. В отличие от большинства синтаксисов шаблонов, вам не нужно прерывать кодирование, чтобы явно указывать серверные блоки в вашем HTML. Парсер достаточно умен, чтобы сделать это из вашего кода. Это позволяет действительно компактный и выразительный синтаксис, который является чистым, быстрым и забавным.

Прост в освоении: он позволяет быстро стать продуктивным, с минимальными понятиями. Вы используете простые конструкции Scala и все ваши существующие навыки HTML.

Не новый язык: мы сознательно решили не создавать новый язык. Вместо этого мы хотели, чтобы разработчики Scala использовали свои существующие навыки языка Scala и доставляли синтаксис разметки шаблона, который позволяет создать потрясающий рабочий процесс построения HTML.

редактируемый в любом текстовом редакторе: он не требует специального инструмента и позволяет вам быть продуктивным в любом простом текстовом редакторе.