Struts2的官网公布了一个远程命令执行漏洞,官方强烈建议升级到2.3.15.1或者以上版本,该版本包含校正过的struts2核心库。

我们之前开发项目主要采用的Struts2版本是2.2.1,本文介绍下Struts2从2.2.1升级到2.3.15.1的过程。

首先自Struts官方网站下载struts-2.3.15.1-all.zip,里面包含所需要的jar。

删除项目中如下jar文件:

将struts-2.3.15.1-all.zip中的如下jar文件加到项目中:

升级jar之后,测试项目,发现2个问题,第一个问题,控制台会经常输出如下信息:

*********************************************************************** 
*                              
WARNING!!!                           

*                                                                    

* >>> ActionContextCleanUp<<<
is deprecated! Please use the new filters! * 
*                                                                    

*          
This can be a source of unpredictable
problems!           * 
*                                                                    

*             
Please refer to the docs for more
details!            

*           
http://struts.apache.org/2.x/docs/webxml.html           

*                                                                    

***********************************************************************

意思是说ActionContextCleanUp过期,不建议使用,查看了

http://struts.apache.org/2.x/docs/webxml.html,没有看出所以然,后来在论坛中有人说Struts的过滤器org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter包含了ActionContextCleanUp功能,所以注释掉web.XML文件中的ActionContextCleanUp过滤器即可。

注意如果struts2过滤器不是

org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter的话,要修改成这个。

当然上述问题是个警告,如果说警告不予理睬的话,第二个问题是控制台抛出错误,这个就要解决了。

抛出错误的情况是:代码在执行某些数据保存的时候,会抛出异常,但是数据依然能保存,从前台功能上看没有任何问题。

后台异常堆栈信息:

16-04-01
02:33:49.017 ERROR [CommonsLogger.java:38] 
Developer Notification (set struts.devMode to false to disable this
message):

Unexpected
Exception caught setting 'formName' on 'class net.jqsoft.XXXX.manager.XXXX.QuestionAnswer:
Error setting expression 'formName' with value ['dataListForm', ]

Error
setting expression 'formName' with value ['dataListForm', ] - [unknown
location]

at
com.opensymphony.xwork2.ognl.OgnlValueStack.handleRuntimeException(OgnlValueStack.java:197)

at com.opensymphony.xwork2.ognl.OgnlValueStack.setValue(OgnlValueStack.java:174)

at
com.opensymphony.xwork2.ognl.OgnlValueStack.setParameter(OgnlValueStack.java:148)

at
com.opensymphony.xwork2.interceptor.ParametersInterceptor.setParameters(ParametersInterceptor.java:318)

at
com.opensymphony.xwork2.interceptor.ParametersInterceptor.doIntercept(Parameters

异常信息说的很清楚,只要关闭struts.devMode(开发模式)就不会抛出这些信息,尝试设置struts.devMode=false,果然不再抛出异常。

但是还是不放心,想知道到底为什么?参考论坛上的说法,Action中的所有属性都要加上seter、geter方法,检查下,都加上了,还是不行。

然后在action中添加private
string formName,并生成seter、geter,测试发现抛出下面的问题:

Unexpected Exception caught setting ' showNum ' on .........

然后在action中添加private
string showNum,并生成seter、geter,依次下去,最终问题解决。

总结下,原来Struts2.3.15.1检查的比较严格,凡在前端界面form中所有的name=’xxx’,action中都要有对应的属性,哪怕action端不需要使用这个name,也要加上。

搞明白了,可以放心的把struts.devMode=false,或者把代码写的严谨点,不需要的<input  name=’xxx’>不要写。

最后总结下升级过程:

1、     
替换jar

2、     
注释web.xml文件中的

<filter>

<filter-name>struts2CleanUpFilter</filter-name>

<filter-class>org.apache.struts2.dispatcher.ActionContextCleanUp</filter-class>

</filter>

<filter-mapping>

<filter-name>struts2CleanUpFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

3、     
修改struts.properties文件中的struts.devMode =  false

Struts2版本升级到struts2 2.3.15.1操作说明的更多相关文章

  1. Struts2入门2 Struts2深入

    Struts2入门2 Struts2深入 链接: http://pan.baidu.com/s/1rdCDh 密码: sm5h 前言: 前面学习那一节,搞得我是在是太痛苦了.因为在Web项目中确实不知 ...

  2. Struts2入门1 Struts2基础知识

    Struts2入门1 Struts2基础知识 20131130 代码下载: 链接: http://pan.baidu.com/s/11mYG1 密码: aua5 前言: 之前学习了Spring和Hib ...

  3. Struts2笔记02——Struts2 概述(转)

    原始内容:https://www.tutorialspoint.com/struts_2/basic_mvc_architecture.htm Struts2是基于MVC设计模式的一种流行.成熟的We ...

  4. Struts2学习一----------Struts2的工作原理及HelloWorld简单实现

    © 版权声明:本文为博主原创文章,转载请注明出处 Struts2工作原理 一个请求在Struts2框架中的处理步骤: 1.客户端初始化一个指向Servlet容器(例如Tomcat)的请求 2.这个请求 ...

  5. Struts2 Convention Plugin ( struts2 零配置 )

    Struts2 Convention Plugin ( struts2 零配置 ) convention-plugin 可以用来实现 struts2 的零配置.零配置的意思并不是说没有配置,而是通过约 ...

  6. 1.Struts2简介和Struts2开发环境搭建

    一.Struts2简介: 1.什么是Struts2? 著名的SSH三大框架分别为:表现层(Struts).业务逻辑层(Spring),持久化层(Hibernate). Struts2是在WebWork ...

  7. struts2总结六: Struts2的拦截器

    一.Struts2的系统结构图

  8. Struts2框架(8)---Struts2的输入校验

    Struts2的输入校验 在我们项目实际开发中在数据校验时,分为两种,一种是前端校验,一种是服务器校验: 客户端校验:主要是通过jsp写js脚本,它的优点很明显,就是输入错误的话提醒比较及时,能够减轻 ...

  9. Struts2入门(七)——Struts2的文件上传和下载

    一.前言 在之前的随笔之中,我们已经了解Java通过上传组件来实现上传和下载,这次我们来了解Struts2的上传和下载. 注意:文件上传时,我们需要将表单提交方式设置为"POST" ...

随机推荐

  1. 仿W8屏保

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  2. zend studio 9 字体,颜色,快捷键等相关设置

    1.zend studio 9可以破解吗? 可以的,具体破解步骤查看:http://www.geekso.com/ZendStudio9-key/ 2.如何将zend studio 9的默认GBK编码 ...

  3. 关于c#调用java中间件api的几个问题

    由于项目需要,做的c#客户端数据库连接串首先肯定不能写死的程序里(数据库很容易被攻击,我们的项目半年改了几次密码...) 放置在配置文件内,都可以看得到,最开始想法将配置文件加密,老师说加密过的文件还 ...

  4. java 简单数组元素的增删改查

    public class Test { static int[] a = new int[20]; static int n; public static void main(String[] arg ...

  5. javascript数组的方法总结,非常实用的!

    在ES5中,一共有9个Array方法 http://kangax.github.io/compat-table/es5/ 注* 九个方法 Array.prototype.indexOfArray.pr ...

  6. Angular js 之动态传数据到下一个页面和动态通过ng-click进入不同的页面

    +关于Angular js中一些千篇一律的后台获取数据 首先在services.js里面把服务写好 然后在controller里面把数据给打印出来 (首先需要把数据注入) +关于Angular js中 ...

  7. 如何在Linux服务器中隐藏PHP版本

    通常,大多数默认设置安装的web服务器存在信息泄露,这其中之一就是PHP.PHP 是如今流行的服务端html嵌入式语言(之一?).在如今这个充满挑战的时代,有许多攻击者会尝试发现你服务端的漏洞.因此, ...

  8. iOS UIView上添加mp4视频

    ViewController.h文件中添加如下代码: #import <MediaPlayer/MediaPlayer.h> @property(nonatomic,retain) MPM ...

  9. Pycharm快捷方式

    PYCHARM的快捷方式 PyCharm3.0默认快捷键(翻译的)1.编辑(Editing)Ctrl + Space 基本的代码完成(类.方法.属性)Ctrl + Alt + Space 快速导入任意 ...

  10. Web安全

    随着Web2.0.网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上.Web业务的迅速发展吸引了黑客们的强烈关注,接踵 ...