Struts 2.1.6 升级到Struts 2.3.20版本

admin

struts2有漏洞是众所周知的、一直忙于项目没有时间升级、今天得空升级一下。不得不说 struts2 网站打开是极慢的：http://struts.apache.org/  里面有Struts 2.3.20版本的文档、演示项目以及JAR包。
, a* p9 s* f' m# S7 N2 g3 m9 r下载下来 替换几JAR就ok了。

9 F* X- E! e7 p( T  B2 x, X5 \0 P3 k版本改进：

Ø  合并后的安全修补程序版本中，2.3.16.1、 2.3.16.2、 2.3.16.3

Ø  扩展现有的安全机制来阻止访问给定的java包和类

Ø  RedirectResult 参数集合

Ø  在默认情况下,使 ParametersInterceptor 支持中文哈希键

Ø  themes.properties可以使用加载  ServletContext 允许放在 WEB-INF 下或在类路径中的模板文件夹

Ø  新标记 datetextfield

Ø  只有缓存有效的 Ognl 表达式

Ø  自定义 TextProvider 可用于验证错误的模型驱动的行动

Ø  datetimepicker 的标签固定

Ø  PropertiesJudge 删除和属性已签入 SecurityMemberAccess

Ø  在 IBM JVM 资源重新加载工作

Ø  默认加载设置已被删除从 default.properties

Ø  commons-fileupload.jar升级到版本 1.3.1 要修复潜在的安全漏洞

Ø   标记组合属性可以使用表达式

Ø  解决 FastByteArrayOutputStream 中的无限循环问题

Ø  LocalizedTextUtil 支持很多的类加载器

Ø  介绍了条例草案的材料 pom

Ø  debug = browser|console 被迁移到 jQuery

Ø  struts_dojo.js 被固定的

Ø  新增接口 org/apache/struts2/views/TagLibray，并且标记为 @Depreacted

Struts.xml :
8 \* _7 C. N1 N! G2 j- F$ E/ yStruts 2.3.20 配置文件新增加了参数为struts.excludedClasses,此参数为了严格验证排除一些不安全的对象类型。

              value="

                java.lang.Object,

                java.lang.Runtime,

                java.lang.System,

                java.lang.Class,

                java.lang.ClassLoader,

                java.lang.Shutdown,

                ognl.OgnlContext,

                ognl.MemberAccess,

                ognl.ClassResolver,

                ognl.TypeConverter,

                com.opensymphony.xwork2.ActionContext" />
3 g& V  t6 m7 R) e/ y# f) o' G; D
value="^java\.lang\..*,^ognl.*,^javax.*" />
“java.lang.Classs”值过滤struts标签中静态方法调用
  N! A+ x7 F8 X+ ~7 r需要替换的重要jar包：
/ L. I; V7 N- a$ _ognl-3.0.6.jar
( J" h* R5 g  n0 x& G; ostruts2-core-2.3.20.jar
struts2-json-plugin-2.3.20.jar
struts2-spring-plugin-2.3.20.jar
xwork-core-2.3.20.jar
struts.xml文件：
修改注释为2.3版本

1. <!DOCTYPE struts PUBLIC
   . V7 F# \$ T4 l7 S/ n% X
2.         "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
   * H1 T8 X) ?* y$ ^; l' [% B
3.         "http://struts.apache.org/dtds/struts-2.3.dtd">

复制代码

Struts 2.3.20版本JAR.zip (1.55 MB, 下载次数: 1)

2015-3-17 13:25 上传

点击文件名下载附件
阅读权限: 20

; l8 m8 X$ ?/ T3 M9 {- B* o8 [8 Xstruts-2.3.20-all文档以及演示项目