昔からJSPでスクリプトレットを禁止するオプションがあればいいのに…と思っていたのですが、JSP 2.0からweb.xmlでスクリプトレットの使用を禁止できるようになっていたんですね。最近知りました。
以下のような感じで、scriptlet-invalidをtrueに設定しておけばいいようです。
<jsp-config> <jsp-property-group> <url-pattern>*.jsp</url-pattern> <el-ignored>false</el-ignored> <page-encoding>UTF-8</page-encoding> <scripting-invalid>true</scripting-invalid> <include-prelude>/WEB-INF/pages/common/common.jsp</include-prelude> </jsp-property-group> </jsp-config>
JSPを使う場合、この設定は必ず行っておくべきですねぇ。実際はそうも行かないと思いますが…w