白帽子讲web安全(1)

一个中年大叔开始学习web安全。

之前是做web开发的,对于html知识有一点基础,想了解一下web安全方面的知识，于是买了一本白帽子讲web安全的书籍，今天看了一点，也对着书本上说的东西敲了一下代码。读到通过XSS获取本地ip的时候，说将java代码嵌入到页面中，这个嵌入到页面中是如何操作的，我没有弄明白。之前在对着书上的例子，在浏览器的控制台上写http请求获取邮件列表的时候，是直接在控制台编写js代码。但是java代码不能在控制台编写啊，什么<%%>,<%!%> 都没有用，然后就搜相关的知识，发现了一篇讲浏览器解析请求的过程，原文链接，主要讲的是浏览器解析请求的一个过程,<%%>通过这个标签写的java代码，会和当前这个jsp的内容，生成在同一个.java文件里面，实际上是里面的同一个servlet方法里面,引入的变量是作为成员变量，所以页面都能访问, <%= %>这个标签，实际上被翻译成了 out.print等等。但是这个貌似还是不能解决我的问题.
我的问题是:如何把java代码嵌入到jsp页面，要是已经在页面写好了，那就不叫嵌入了吧。