Pues tengo entendido que el servidor de aplicaciones siempre asigna sesion a la pagina web, tal vez lo que podrias hacer en el lado del servlet es colocar algo como

Rubro r=new Rubro();
public void doPost (HttpServletRequest req, HttpServletResponse res)
throws ServletException, IOException{
String msg=r.validarCodigo(req.getParameter("txt_codigo") ;
req.getSession.setAttribute("validacion", msg);
response.sendRedirect("lapaginadedondellamasteelse rvlet");

y en la pagina jsp

<% if( request.getSession.getAttribute("validacion") != null ) {%>
alert('<%=request.getSession.getAttribute("validac ion")%>')
<% request.getSession.removeAttribute("validacion");
}
%>

o sin necesitada de colocar atributo en session y con parametros mandarlo y recuperar en la jsp con request.getAttribute("mensaje")