我的日常

登录/注册
您现在的位置:论坛 盖世程序员(我猜到了开头 却没有猜到结局) 盖世程序员 > Struts 2.1.6 升级到Struts 2.3.20版本
总共48086条微博

动态微博

查看: 5039|回复: 0

Struts 2.1.6 升级到Struts 2.3.20版本

[复制链接]
admin    

1244

主题

544

听众

1万

金钱

管理员

  • TA的每日心情

    2021-2-2 11:21
  • 签到天数: 36 天

    [LV.5]常住居民I

    管理员

    跳转到指定楼层
    楼主
    发表于 2015-03-17 13:09:19 |只看该作者 |倒序浏览
    struts2有漏洞是众所周知的、一直忙于项目没有时间升级、今天得空升级一下。不得不说 struts2 网站打开是极慢的:http://struts.apache.org/  里面有Struts 2.3.20版本的文档、演示项目以及JAR包。
    6 O9 E5 Z6 m$ B' n3 ]* {$ a下载下来 替换几JAR就ok了。5 }2 ^( Q' l3 O1 _/ Q5 Y$ G/ c

    2 A2 K6 n2 R7 J" v% ], h0 R: G, C, w版本改进:& L$ R* g  W2 m  I3 {: p% e- \
    Ø  合并后的安全修补程序版本中,2.3.16.1、 2.3.16.2、 2.3.16.3
    Ø  扩展现有的安全机制来阻止访问给定的java包和类
    Ø  RedirectResult 参数集合
    Ø  在默认情况下,使 ParametersInterceptor 支持中文哈希键
    Ø  themes.properties可以使用加载  ServletContext 允许放在 WEB-INF 下或在类路径中的模板文件夹
    Ø  新标记 datetextfield
    Ø  只有缓存有效的 Ognl 表达式
    Ø  自定义 TextProvider 可用于验证错误的模型驱动的行动
    Ø  datetimepicker 的标签固定
    Ø  PropertiesJudge 删除和属性已签入 SecurityMemberAccess
    Ø  在 IBM JVM 资源重新加载工作
    Ø  默认加载设置已被删除从 default.properties
    Ø  commons-fileupload.jar升级到版本 1.3.1 要修复潜在的安全漏洞
    Ø   标记组合属性可以使用表达式
    Ø  解决 FastByteArrayOutputStream 中的无限循环问题
    Ø  LocalizedTextUtil 支持很多的类加载器
    Ø  介绍了条例草案的材料 pom
    Ø  debug = browser|console 被迁移到 jQuery
    Ø  struts_dojo.js 被固定的
    Ø  新增接口 org/apache/struts2/views/TagLibray,并且标记为 @Depreacted

    + x% |5 T1 o2 FStruts.xml :
    7 M! V2 |; G4 p8 N0 [Struts 2.3.20 配置文件新增加了参数为struts.excludedClasses,此参数为了严格验证排除一些不安全的对象类型。" H- N$ n  I; C$ B, E5 j8 y4 w
                  value="
                    java.lang.Object,
                    java.lang.Runtime,
                    java.lang.System,
                    java.lang.Class,
                    java.lang.ClassLoader,
                    java.lang.Shutdown,
                    ognl.OgnlContext,
                    ognl.MemberAccess,
                    ognl.ClassResolver,
                    ognl.TypeConverter,
                    com.opensymphony.xwork2.ActionContext" />
    3 v+ }7 \1 {) o) b# k
    3 P! i  D+ b3 e# y% P! L5 l* Qvalue="^java\.lang\..*,^ognl.*,^javax.*" />% R# T  J/ o# v: D* [6 b
    “java.lang.Classs”值过滤struts标签中静态方法调用
    1 x$ a) C& L' A5 n- Q' F% V2 w需要替换的重要jar包:
    7 J$ q7 q) \" y& @ognl-3.0.6.jar
    9 J+ Z* Z+ M% L  b0 Ostruts2-core-2.3.20.jar3 v' j" C1 _3 L5 b6 [- h
    struts2-json-plugin-2.3.20.jar
    1 i3 I3 \2 U1 G# e. P/ ?struts2-spring-plugin-2.3.20.jar
    7 U0 b( V0 |4 P* e5 S0 cxwork-core-2.3.20.jar. `: E+ c4 v1 j. c# [
    struts.xml文件:
    0 f% w" C  U! `) q! {* o修改注释为2.3版本
    4 p7 `5 ~6 a2 E. v8 p
    1. <!DOCTYPE struts PUBLIC1 s, M. j, I8 Q2 i: t  Q; ?
    2.         "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"" A& g  R6 I# T- w; h) N
    3.         "http://struts.apache.org/dtds/struts-2.3.dtd">
    复制代码
    Struts 2.3.20版本JAR.zip (1.55 MB, 下载次数: 1)
    " p# p8 J% K9 ~- [+ r3 V* Q. F: N! e* b, B
    struts-2.3.20-all文档以及演示项目
    $ H) U7 `' O! o5 i9 c$ B2 i9 s. P. R6 |$ @, d/ z0 n; W

    科帮网 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与科帮网享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、科帮网管理员和版主有权不事先通知发贴者而删除本文


    JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

    快速回复
    您需要登录后才可以回帖 登录 | 立即注册

       

    关闭

    站长推荐上一条 /1 下一条

    发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端
    快速回复 返回顶部 返回列表