Struts简介

一.简介

Apache Struts 2最初被称为WebWork 2&＃xff0c;它是一个简洁的、可扩展的框架&＃xff0c;可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。

二。曾经的安全问题

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞 &＃xff0c;主要问题如下&＃xff1a;

1.可远程执行服务器脚本代码 

用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new&＃43;java.lang.ProcessBuilder(new&＃43;java.lang.String[]{&＃39;command&＃39;,&＃39;goes&＃39;,&＃39;here&＃39;})).start()}链接&＃xff0c;command goes here可以换成是破坏脚本的路径和参数&＃xff0c;比如fdisk -f等&＃xff0c;造成破环系统无法运行的目的。

2.重定向漏洞 

用户可以构造如知名网站淘宝的重定向连接&＃xff0c;形如打折新款,引导用户点击后进入钓鱼网站&＃xff0c;在界面上让其进行登陆用以获取用户的密码。

造成的影响

应对措施

Apache团队紧急发布了Struts 2.3.15.1安全更新版本,可升级到此版本来解决上述问题。

 

三.Struts2 架构

从一个高水平角度看&＃xff0c;Struts2 是一个MVC拉动的&＃xff08;或MVC2&＃xff09;框架&＃xff0c;Struts2 的模型-视图-控制器模式是通过以下五个核心部分进行实现的&＃xff1a;

 

• 操作&＃xff08;Actions&＃xff09;
• 拦截器&＃xff08;Interceptors&＃xff09;
• 值栈&＃xff08;Value Stack&＃xff09;/OGNL
• 结果&＃xff08;Result&＃xff09;/结果类型
• 视图技术

而Struts2 与传统的MVC框架略有不同&＃xff0c;因为它由Action扮演模型的角色&＃xff0c;而不是控制器&＃xff0c;虽然这样会有一些重叠。

上图描述了Struts2 高级系统架构下的模型、视图及控制器。控制器是通过Struts2 分派servlet过滤器以及拦截器进行实现&＃xff0c;模型是通过Actions进行实现&＃xff0c;而视图则是结果类型和结果的结合。值栈和OGNL提供共同的路线、链接以及与其他组件之间的集成。

除了上述部分&＃xff0c;还有许多组件相关的信息。web应用程序组件、Actions组件、拦截器组件、结果组件等等。

这些是Struts2 MVC模式的体系结构概述&＃xff0c;在随后的章节中&＃xff0c;我们将详细了解各个部分。

请求生命周期

通过上述图片的描述&＃xff0c;我们可以依照下面几点解释在Struts2 中用户的请求生命周期&＃xff1a;

• 用户发送一个资源需求的请求到服务器&＃xff08;例如&＃xff1a;页面&＃xff09;。
• 核心控制器查看请求后确定适当的动作。
• 使用验证、文件上传等配置拦截器功能。
• 执行选择的动作来完成请求的操作。
• 另外&＃xff0c;如果需要的话&＃xff0c;配置的拦截器可做任何后期处理。
• 最后&＃xff0c;由视图显示结果并返回给用户。