JSPでスクリプトレットを禁止する

Java

昔からJSPスクリプトレットを禁止するオプションがあればいいのに…と思っていたのですが、JSP 2.0からweb.xmlスクリプトレットの使用を禁止できるようになっていたんですね。最近知りました。
以下のような感じで、scriptlet-invalidをtrueに設定しておけばいいようです。

<jsp-config>
  <jsp-property-group>
    <url-pattern>*.jsp</url-pattern>
    <el-ignored>false</el-ignored>
    <page-encoding>UTF-8</page-encoding>
    <scripting-invalid>true</scripting-invalid>
    <include-prelude>/WEB-INF/pages/common/common.jsp</include-prelude>
  </jsp-property-group>
</jsp-config>

JSPを使う場合、この設定は必ず行っておくべきですねぇ。実際はそうも行かないと思いますが…w