web.xmlにて、scriptlet-invalidをtrueに設定するだけでいいらしい。
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<el-ignored>false</el-ignored>
<page-encoding>UTF-8</page-encoding>
<scripting-invalid>true</scripting-invalid>
<include-prelude>/WEB-INF/view/common/common.jsp</include-prelude>
</jsp-property-group>
</jsp-config>
ついでに各要素の復習。
<url-pattern> パラメータを適用するURLパターン(必須)
<el-ignored> 式言語を無視するか(true/false)
<page-encoding> ページエンコーディング名
<scripting-invalid> スクリプティング要素を無効にするか
<include-prelude> 各ページのヘッダとしてインクルードするファイル
<include-coda> 各ページのフッタとしてインクルードするファイル
たま〜に、ゴリゴリと力技でコーディングするタイプの人っているし、
スクリプトレットだらけのソースを見かけるとタグリブ使えよ!ないなら自作しろよ!
なんて嫌な気持ちになっていたのだけど、これで制限できるようになったんだなぁ。
でも、完全に制限すると困るかな?
今は少人数開発で、その辺りは目も届くから今回はやらなくていいや。