Struts2的官网公布了一个远程命令执行漏洞,官方强烈建议升级到2.3.15.1或者以上版本,该版本包含校正过的struts2核心库。

我们之前开发项目主要采用的Struts2版本是2.2.1,本文介绍下Struts2从2.2.1升级到2.3.15.1的过程。

首先自Struts官方网站下载struts-2.3.15.1-all.zip,里面包含所需要的jar。

删除项目中如下jar文件:

将struts-2.3.15.1-all.zip中的如下jar文件加到项目中:

升级jar之后,测试项目,发现2个问题,第一个问题,控制台会经常输出如下信息:

*********************************************************************** 
*                              
WARNING!!!                           

*                                                                    

* >>> ActionContextCleanUp<<<
is deprecated! Please use the new filters! * 
*                                                                    

*          
This can be a source of unpredictable
problems!           * 
*                                                                    

*             
Please refer to the docs for more
details!            

*           
http://struts.apache.org/2.x/docs/webxml.html           

*                                                                    

***********************************************************************

意思是说ActionContextCleanUp过期,不建议使用,查看了

http://struts.apache.org/2.x/docs/webxml.html,没有看出所以然,后来在论坛中有人说Struts的过滤器org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter包含了ActionContextCleanUp功能,所以注释掉web.XML文件中的ActionContextCleanUp过滤器即可。

注意如果struts2过滤器不是

org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter的话,要修改成这个。

当然上述问题是个警告,如果说警告不予理睬的话,第二个问题是控制台抛出错误,这个就要解决了。

抛出错误的情况是:代码在执行某些数据保存的时候,会抛出异常,但是数据依然能保存,从前台功能上看没有任何问题。

后台异常堆栈信息:

16-04-01
02:33:49.017 ERROR [CommonsLogger.java:38] 
Developer Notification (set struts.devMode to false to disable this
message):

Unexpected
Exception caught setting 'formName' on 'class net.jqsoft.XXXX.manager.XXXX.QuestionAnswer:
Error setting expression 'formName' with value ['dataListForm', ]

Error
setting expression 'formName' with value ['dataListForm', ] - [unknown
location]

at
com.opensymphony.xwork2.ognl.OgnlValueStack.handleRuntimeException(OgnlValueStack.java:197)

at com.opensymphony.xwork2.ognl.OgnlValueStack.setValue(OgnlValueStack.java:174)

at
com.opensymphony.xwork2.ognl.OgnlValueStack.setParameter(OgnlValueStack.java:148)

at
com.opensymphony.xwork2.interceptor.ParametersInterceptor.setParameters(ParametersInterceptor.java:318)

at
com.opensymphony.xwork2.interceptor.ParametersInterceptor.doIntercept(Parameters

异常信息说的很清楚,只要关闭struts.devMode(开发模式)就不会抛出这些信息,尝试设置struts.devMode=false,果然不再抛出异常。

但是还是不放心,想知道到底为什么?参考论坛上的说法,Action中的所有属性都要加上seter、geter方法,检查下,都加上了,还是不行。

然后在action中添加private
string formName,并生成seter、geter,测试发现抛出下面的问题:

Unexpected Exception caught setting ' showNum ' on .........

然后在action中添加private
string showNum,并生成seter、geter,依次下去,最终问题解决。

总结下,原来Struts2.3.15.1检查的比较严格,凡在前端界面form中所有的name=’xxx’,action中都要有对应的属性,哪怕action端不需要使用这个name,也要加上。

搞明白了,可以放心的把struts.devMode=false,或者把代码写的严谨点,不需要的<input  name=’xxx’>不要写。

最后总结下升级过程:

1、     
替换jar

2、     
注释web.xml文件中的

<filter>

<filter-name>struts2CleanUpFilter</filter-name>

<filter-class>org.apache.struts2.dispatcher.ActionContextCleanUp</filter-class>

</filter>

<filter-mapping>

<filter-name>struts2CleanUpFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

3、     
修改struts.properties文件中的struts.devMode =  false

Struts2版本升级到struts2 2.3.15.1操作说明的更多相关文章

  1. Struts2入门2 Struts2深入

    Struts2入门2 Struts2深入 链接: http://pan.baidu.com/s/1rdCDh 密码: sm5h 前言: 前面学习那一节,搞得我是在是太痛苦了.因为在Web项目中确实不知 ...

  2. Struts2入门1 Struts2基础知识

    Struts2入门1 Struts2基础知识 20131130 代码下载: 链接: http://pan.baidu.com/s/11mYG1 密码: aua5 前言: 之前学习了Spring和Hib ...

  3. Struts2笔记02——Struts2 概述(转)

    原始内容:https://www.tutorialspoint.com/struts_2/basic_mvc_architecture.htm Struts2是基于MVC设计模式的一种流行.成熟的We ...

  4. Struts2学习一----------Struts2的工作原理及HelloWorld简单实现

    © 版权声明:本文为博主原创文章,转载请注明出处 Struts2工作原理 一个请求在Struts2框架中的处理步骤: 1.客户端初始化一个指向Servlet容器(例如Tomcat)的请求 2.这个请求 ...

  5. Struts2 Convention Plugin ( struts2 零配置 )

    Struts2 Convention Plugin ( struts2 零配置 ) convention-plugin 可以用来实现 struts2 的零配置.零配置的意思并不是说没有配置,而是通过约 ...

  6. 1.Struts2简介和Struts2开发环境搭建

    一.Struts2简介: 1.什么是Struts2? 著名的SSH三大框架分别为:表现层(Struts).业务逻辑层(Spring),持久化层(Hibernate). Struts2是在WebWork ...

  7. struts2总结六: Struts2的拦截器

    一.Struts2的系统结构图

  8. Struts2框架(8)---Struts2的输入校验

    Struts2的输入校验 在我们项目实际开发中在数据校验时,分为两种,一种是前端校验,一种是服务器校验: 客户端校验:主要是通过jsp写js脚本,它的优点很明显,就是输入错误的话提醒比较及时,能够减轻 ...

  9. Struts2入门(七)——Struts2的文件上传和下载

    一.前言 在之前的随笔之中,我们已经了解Java通过上传组件来实现上传和下载,这次我们来了解Struts2的上传和下载. 注意:文件上传时,我们需要将表单提交方式设置为"POST" ...

随机推荐

  1. Windows添加和取消右键管理员权限

    亲测可用 新建文本文档,粘贴下列代码 Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\*\shell\runas]@="管理员取 ...

  2. python之萌新入门的第一天

    新人的挑战一:配置环境变量及正确地使用工具. 配置环境好难,照着教程做很简单,但是确定环境配置成功好难. 一开始运行helloworld程序的文件时一直出现SyntaxError:invaild sy ...

  3. touch的属性

    touch命令:建立文件   touch的功能并不是用来创建新文件的,创建文件是touch命令的一个特殊情况,touch是用来修改指定的文件的访问和修改时间属性,如果指定的文件不存在,将建立一个新的空 ...

  4. js 判断IE浏览器,包含IE6/7/8/9

    //判断IE6-9的版本,num可取值为6/7/8/9//若不给参数num,仅判断浏览器是否为IE,不判断版本 var isIE = function (num) { if(arguments.len ...

  5. 部署私有的Nuget服务器

    1.查看官方的部署文档:http://docs.nuget.org/Create/Hosting-Your-Own-NuGet-Feeds 2.使用开源的项目:https://github.com/h ...

  6. Delphi 中同类型方法的说明

    对象的方法能定义成静态(static).虚拟(virtual).动态(dynamic)或消息处理(message).请看下面 的例子: TFoo = class procedure IAmAStati ...

  7. XlFileFormat Enumeration

    https://msdn.microsoft.com/zh-cn/library/office/ff198017.aspx

  8. javascript 中的借鸡生蛋

    如题所说,其实指的是 js 中的内置函数和 apply 的结合使用.这种用法很讨巧,读过 jQuery 源码的小伙伴都知道,它在里面被应用的非常广泛和精妙! 梨子:找出一个数组中的最大值和最小值 普遍 ...

  9. 【 2013 Multi-University Training Contest 6 】

    HDU 4655 Cut Pieces 假设n个数构成的总数都分成了n段,总数是n*a1*a2*...*an.但是答案显然不会那么多. 对于相邻的两个ai,ai+1,如果选择相同的颜色,那么就减少了a ...

  10. 【 2013 Multi-University Training Contest 3 】

    HDU 4622 Reincarnation 枚举字符串的起点,构造后缀自动机,每次插入一个字符,就能统计得到当前不同字串的个数,预处理出所有的询问. #include<cstdio> # ...