struts2工作原理

一.Struts2基础知识1. struts2的特点及配置1.1struts2与struts1的比较1)在软件设计上struts2没有struts1那样跟ServletApi和StrutsApi有着紧密的耦合，Struts2的应用可以不因爱ServletApi和StrutsApi.struts2的这种设计属于无侵入式设计，而Struts1却属于侵入式设计public class OrderListAction ectends Action//struts依赖于java2)Struts2提供了拦截器，利用拦截器可以进行AOP编程，实现如权限拦截等功能3)Struts2提供了类型转换器，我们可以把特殊的请求参数转换成我们需要的类型，在struts1中，如果我们实现同样的功能，就必须向struts1的底层实现BeanUtil注册类型转换器4)Struts2提供了支持多种表现层技术，如JSp，freeMarker等5)Struts2的输入校验可以对指定方法进行校验，解决了Struts的长久之疼6)提供了全局范围，包范围和Action范围的国际化资源文件管理实现1.2搭建struts2的开发环境1)新建web项目2)导入必要的包3）写配置文件Struts2默认的配置文件为Struts.xml，该文件需要存放在WEB-INF/classes下，该文件的配置模板如下（在m yeclipse中放在src目录下就可以了）模板在D:\Program Files\struts-2.3.4.1-all\struts-2.3.4.1\apps 解压struts2-blank.var再打开web-info/classes中的struts.x m l文件即可<?xml version="1.0"encoding="UTF-8"?><!DOCTYPE struts PUBLIC"-//Apache Software Foundation//DTD Struts Configuration2.3//EN""/dtds/struts-2.3.dtd"><struts></struts>4）在web.xm l中加入Struts2MVC框架启动配置在struts1.x中struts框架是通过Servlet启动的，在struts2中，struts框架式通过Filter 启动的，他在web.xm l中的配置如下：（D:\Program Files\struts-2.3.4.1-all\struts-2.3.4.1\apps 解压struts2-blank.var再打开Web-Info\web.xm l即可）<filter><filter-name>struts2</filter-name><filter-class>org.apache.struts2.dispatcher.ng.filter.Str utsPrepareAndExecuteFilter</filter-class><!—自从struts2.1.3以后，下面的FilterDispatcher已经标注为过时<filter-class>org.apache.struts2.dispatcher.ng.filter.FilterDispather</filter-class> --></filter><filter-mapping><filter-name>struts2</filter-name><url-pattern>/*</url-pattern></filter-mapping>在StrutsPrepareAndEXecuteFilter()方法中将会读取类路径下的默认文件struts.xml完成初始化操作。

Struts2漏洞利⽤原理及OGNL机制Struts2漏洞利⽤原理及OGNL机制研究概述在MVC开发框架中，数据会在MVC各个模块中进⾏流转。

⽽这种流转，也就会⾯临⼀些困境，就是由于数据在不同MVC层次中表现出不同的形式和状态⽽造成的：View层—表现为字符串展⽰数据在页⾯上是⼀个扁平的、不带数据类型的字符串，⽆论数据结构有多复杂，数据类型有多丰富，到了展⽰的时候，全都⼀视同仁的成为字符串在页⾯上展现出来。

数据在传递时，任何数据都都被当作字符串或字符串数组来进⾏。

Controller层—表现为java对象在控制层，数据模型遵循java的语法和数据结构，所有的数据载体在Java世界中可以表现为丰富的数据结构和数据类型，你可以⾃⾏定义你喜欢的类，在类与类之间进⾏继承、嵌套。

我们通常会把这种模型称之为复杂的对象树。

数据在传递时，将以对象的形式进⾏。

可以看到，数据在不同的MVC层次上，扮演的⾓⾊和表现形式不同，这是由于HTTP协议与java的⾯向对象性之间的不匹配造成的。

如果数据在页⾯和Java世界中互相传递，就会显得不匹配。

所以也就引出了⼏个需要解决的问题：1．当数据从View层传递到Controller层时，我们应该保证⼀个扁平⽽分散在各处的数据集合能以⼀定的规则设置到Java世界中的对象树中去。

同时，能够灵活的进⾏由字符串类型到Java中各个类型的转化。

2．当数据从Controller层传递到View层时，我们应该保证在View层能够以某些简易的规则对对象树进⾏访问。

同时，在⼀定程度上控制对象树中的数据的显⽰格式。

我们稍微深⼊思考这个问题就会发现，解决数据由于表现形式的不同⽽发⽣流转不匹配的问题对我们来说其实并不陌⽣。

同样的问题会发⽣在Java世界与数据库世界中，⾯对这种对象与关系模型的不匹配，我们采⽤的解决⽅法是使⽤如hibernate，iBatis等框架来处理java对象与关系数据库的匹配。

现在在Web层同样也发⽣了不匹配，所以我们也需要使⽤⼀些⼯具来帮助我们解决问题。

struts2核心工作流程与原理做为一名技术人员，听到太多关于.net和java的比较的话题。

我想对那些技术人员说，请先了解一下什么是java（或者.net）吧，其实你根本不了解。

这是Struts2官方站点提供的Struts 2 的整体结构。

一个请求在Struts2框架中的处理大概分为以下几个步骤1.客户端提起一个（HttpServletRequest）请求,如上文在浏览器中输入”http://localhost:8080/TestMvc/add.action”就是提起一个（HttpServletRequest）请求。

2.请求被提交到一系列（主要是三层）的过滤器（Filter），如（ActionContextCleanUp、其他过滤器（SiteMesh等）、 FilterDispatcher）。

注意这里是有顺序的，先ActionContextCleanUp，再其他过滤器（SiteMesh等）、最后到 FilterDispatcher。

3.FilterDispatcher是控制器的核心，就是mvc中c控制层的核心。

下面粗略的分析下我理解的FilterDispatcher工作流程和原理：FilterDispatcher进行初始化并启用核心doFilter其代码如下：public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain ) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;ServletContext servletContext = filterConfig.getServletContext();// 在这里处理了HttpServletRequest和HttpServletResponse。

struts2面试题Struts2是一个基于Java开发的Web应用程序框架，被广泛应用于企业级Java应用开发中。

在面试中，面试官可能会提出一些关于Struts2的问题，以评估应聘者的技术水平。

下面是一些常见的Struts2面试题及其详细答案，希望对你在面试中有所帮助。

1. 什么是Struts2？Struts2是一个轻量级的、基于MVC模式的Web应用程序框架。

它采用Java Servlet API和JavaServer Pages (JSP)技术，并提供了一种简单易用的方式来开发可维护和可扩展的Web应用程序。

2. Struts2的主要特性是什么？Struts2的主要特性包括：- MVC架构：将应用程序分为模型、视图和控制器，使开发更容易管理和扩展。

- 拦截器：通过拦截器可以在请求处理的各个阶段添加自定义的逻辑。

- 标签库：提供了丰富的标签库，简化了页面开发。

- 表单验证：提供了灵活且强大的表单验证机制，可以验证用户输入的数据。

- 国际化支持：支持多语言和本地化。

- 配置简单：通过配置文件来管理应用程序的行为。

3. Struts2的工作原理是什么？Struts2的工作原理如下：1) 客户端发送HTTP请求到服务器。

2) 服务器将请求交给Struts2的过滤器(Filter)。

3) 过滤器通过配置文件找到对应的Action，并调用相应的方法。

4) Action处理请求，并返回一个结果页面的名称或一个结果对象。

5) 结果页面的名称通过配置文件进行映射，服务器将其发送给客户端。

4. 什么是Struts2中的Action类？Action类是Struts2框架中的核心组件，用于处理Web请求。

一个Action类对应一个业务功能，其包含了要执行的方法和数据。

它负责接收请求、处理业务逻辑、将结果返回给前端页面。

5. Struts2中的拦截器是什么？有哪些内置的拦截器？拦截器是Struts2中的组件，用于在请求处理的各个阶段添加自定义的逻辑。

s2-052原理S2-052是指一种计算机安全漏洞，原理是利用Apache Struts 2框架的一个漏洞来执行远程代码。

Apache Struts 2是一个用于构建Web应用程序的开源框架，被广泛使用。

S2-052漏洞是Struts 2框架的一个安全漏洞，其原理是对Struts 2的核心组件——OGNL（Object-Graph Navigation Language）表达式进行了恶意注入。

在受到该漏洞攻击的情况下，攻击者可以构造恶意请求并发送给受影响的服务器。

服务器接收到请求后，会解析请求中的OGNL表达式，并在执行过程中未对其进行充分验证和过滤，导致攻击者可以在服务器上执行任意代码。

通过利用S2-052漏洞，攻击者可以实现远程命令执行，包括任意文件读取、文件删除、命令执行等操作。

这可能导致服务器的敏感数据泄露、系统被入侵、服务被停止等安全问题。

为了修复这个漏洞，Apache Struts 2开发团队发布了针对S2-052漏洞的安全补丁。

用户应该尽快更新Struts 2框架，并确保及时应用最新的安全补丁，以防止受到S2-052漏洞的攻击。

S2-052漏洞的具体原理如下：1. Apache Struts 2框架中的DefaultActionMapper类存在安全问题，攻击者可以通过构造恶意的请求来利用该漏洞。

2. 默认情况下，Struts 2框架使用的是通配符“/*”来匹配URL中的动作（action）。

攻击者可以通过构造特殊的URL，例如“/*/xxx.action”，来绕过框架的安全检查。

3. 在解析请求时，DefaultActionMapper会将URL中的动作部分进行解析。

恶意请求中的动作部分包含OGNL表达式，由${}包裹。

4. OGNL是Struts 2框架中用于动态访问和操作Java对象的表达式语言，可以通过OGNL表达式执行代码。

5. 由于默认配置下Struts 2框架对OGNL表达式的处理不够安全，未对其中的特殊字符进行充分的过滤和验证。