Struts 2.1.6 升级到Struts 2.3.20版本

admin

struts2有漏洞是众所周知的、一直忙于项目没有时间升级、今天得空升级一下。不得不说 struts2 网站打开是极慢的：http://struts.apache.org/  里面有Struts 2.3.20版本的文档、演示项目以及JAR包。
下载下来 替换几JAR就ok了。
  x+ T) s- ^7 I8 S$ ~) [
版本改进：
( M/ U6 U5 i" G) l# w1 \

Ø  合并后的安全修补程序版本中，2.3.16.1、 2.3.16.2、 2.3.16.3

Ø  扩展现有的安全机制来阻止访问给定的java包和类

Ø  RedirectResult 参数集合

Ø  在默认情况下,使 ParametersInterceptor 支持中文哈希键

Ø  themes.properties可以使用加载  ServletContext 允许放在 WEB-INF 下或在类路径中的模板文件夹

Ø  新标记 datetextfield

Ø  只有缓存有效的 Ognl 表达式

Ø  自定义 TextProvider 可用于验证错误的模型驱动的行动

Ø  datetimepicker 的标签固定

Ø  PropertiesJudge 删除和属性已签入 SecurityMemberAccess

Ø  在 IBM JVM 资源重新加载工作

Ø  默认加载设置已被删除从 default.properties

Ø  commons-fileupload.jar升级到版本 1.3.1 要修复潜在的安全漏洞

Ø   标记组合属性可以使用表达式

Ø  解决 FastByteArrayOutputStream 中的无限循环问题

Ø  LocalizedTextUtil 支持很多的类加载器

Ø  介绍了条例草案的材料 pom

Ø  debug = browser|console 被迁移到 jQuery

Ø  struts_dojo.js 被固定的

Ø  新增接口 org/apache/struts2/views/TagLibray，并且标记为 @Depreacted

4 |! j5 H+ i( A5 a" _Struts.xml :
Struts 2.3.20 配置文件新增加了参数为struts.excludedClasses,此参数为了严格验证排除一些不安全的对象类型。
; I8 W* g! v9 @" ~- @

              value="

                java.lang.Object,

                java.lang.Runtime,

                java.lang.System,

                java.lang.Class,

                java.lang.ClassLoader,

                java.lang.Shutdown,

                ognl.OgnlContext,

                ognl.MemberAccess,

                ognl.ClassResolver,

                ognl.TypeConverter,

                com.opensymphony.xwork2.ActionContext" />
; K3 D9 R  P& z9 k8 k# ?" ^
value="^java\.lang\..*,^ognl.*,^javax.*" />
“java.lang.Classs”值过滤struts标签中静态方法调用
, K  D; u3 ?3 z需要替换的重要jar包：
9 V# ?" K7 d# Rognl-3.0.6.jar
- X2 y4 U. |, n: c" z  o* Dstruts2-core-2.3.20.jar
2 ?  D7 j9 |3 ]' D2 `- Y3 Fstruts2-json-plugin-2.3.20.jar
/ c2 y0 U, G5 mstruts2-spring-plugin-2.3.20.jar
xwork-core-2.3.20.jar
+ K& d; N' C% Gstruts.xml文件：
修改注释为2.3版本
. |+ ]/ y( X* J

1. <!DOCTYPE struts PUBLIC
   
2.         "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
   
3.         "http://struts.apache.org/dtds/struts-2.3.dtd">

复制代码

Struts 2.3.20版本JAR.zip (1.55 MB, 下载次数: 1)

2015-3-17 13:25 上传

点击文件名下载附件
阅读权限: 20

struts-2.3.20-all文档以及演示项目