struts1和struts2安全性比较

最新推荐文章于 2018-11-01 17:32:00 发布
最新推荐文章于 2018-11-01 17:32:00 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 46_struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengdazhang770960436/article/details/9812783
版权

1.struts 1

struts1 本身是线程安全的,这是因为我们在Action中使用的基本都是局部变量,而“局部变量是线程安全的。因为每执行一个方法,都会在独立的空间创建局部变量,它不是共享的资源。所有的变量都是定义在Action中我们要执行的方法里的(Action中的execute方法或DispatchAction中指定要执行的方法),我们用于封装客户端请求参数的ActionForm,也是作为一个参数传入,也属于局部变量,因此,不存在线程安全问题。但如果在action中定义全局变量,多个线程共享这个全局变量(共享资源),这时就线程不安全了。 解决方案:1不要定义全局变量2使用synchronized
 


2.struts 2

struts2 默认是不安全的,因为是实例多线程。又有全局变量。 但在配置文件中设置scope="prototype"(原型模式)这是每次请求会新生成一个action实例。就成了多实例多线程,Struts2框架在处理每一个用户请求的时候,都建立一个单独的线程进行处理,值栈ValueStack也是伴随着局部线程而存在的。在该线程存在过程中,可以随意访问值栈,这就保证了值栈的安全性,这样每个实例单独起来,所以线程安全了。

自找苦吃,自得其乐
关注
专栏目录
Struts2安全性学习笔记
qq_31099265的博客
08-23 347
Struts2安全性保证了服务器端指定资源不会轻易通过用户访问得到。 在tomcat中的conf文件中的tomcat-users.xml中添加角色,以及与角色相对应的用户及密码: 上面的这些角色例如"manager"可以通过部署描述文件来访问指定资源。元素security-constraint来保护相应资源,其子元素web-resource-collection
struts1struts2的区别
06-24
通过上述对比可以看出,Struts2相比Struts1在很多方面进行了改进和优化,尤其是在灵活性、可测试性以及对现代Web开发的支持上有着显著的优势。尽管如此,在某些特定的应用场景下,Struts1可能仍然有其适用之处。选择...
Struts2的线程安全性
weixin_34406086的博客
11-01 141
【什么是线程安全性?】 在多线程并发访问的情况下,如果一个对象中的变量的值不会随访问的线程而变化则是线程安全的。反之则称为非线程安全的。 【Servlet是线程安全的吗?】 1 [非线程安全的] 2 public class HiServlet extends HttpServlet { 3 int i = 20; 4 5 @Overri...
Struts2和Servlet线程安全性总结
KingAntY的专栏
06-07 673
最近我在网上查阅关于Servlet和Struts2线程安全的资料
struts 的线程安全性
melphi9
09-26 175
struts 是大学毕业那会刚进公司时用过的,当时属于依样画葫芦,只会用,不知其中深浅。后来转向tapestry,struts自认为只是入门级。 最近在几个项目里跑,在某个项目中发现了struts的一个安全性问题是值得注意的。以前一直没有在意。因为过去的模式是前台页面数据通过actionForm传入,action中的excute方法接收,这个问题是不存在的。 ...
Struts2框架安全缺陷
applepop的专栏
03-22 1566
当前java开发网站,通常不会是纯JSP的,大都使用了java framework。   有了这些framework,让开发人员更加快速的开发出代码,也让代码非常具有可扩展性,那些分层架构的思想, 更是深入人心。这些也大大影响了安全代码审核,曾提出“分层审核代码”的思想,比如在DAO层专门检查 sql注入,在view层检查xss等。这些框架都有自己的层级,本次文章主要讲的是struts这个框
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
5. 防御策略:提供关于如何配置Struts2以提高安全性的一些建议和最佳实践。 使用此工具可以帮助企业及时发现并修复Struts2框架中的安全漏洞,减少网络安全风险,确保数据和系统的安全。同时,对于开发者来说,了解...
基于Python的Struts2-Scan安全漏洞扫描工具设计源码
最新发布
05-23
Struts2-Scan是一个基于Python开发的安全漏洞扫描工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python源文件、1个文本文件和1个JSP文件。该项目为用户提供了一个...
J2EE Struts 2和Struts 1的区别比较.pdf
07-11
Struts 2是Struts 1的升级版,旨在解决Struts 1的一些局限性并提供更强大和灵活的功能。 1. **Action 实现方式**: - Struts 1要求Action类继承自一个抽象基类,通常是`Action`类,这限制了Action类的扩展性。 - ...
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
4. **依赖库审计**:检查项目依赖的Struts 2和其他相关库的版本,确认是否为已知漏洞的版本。 5. **动态代码执行**:模拟RCE攻击,测试系统是否能抵御此类攻击。 6. **权限控制检测**:确保对敏感操作的访问控制...
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
为什么原生的servlet是线程不安全的而Struts2是线程安全的?
weixin_30343157的博客
08-06 60
因为原生的servlet在整个application生命周期中,只在初次访问的时候实例化一次,以后都不会再实例化,只会调用Server方法进行响应,所以如果在servlet类中定义成员变量,那么就会让每个访问的用户的都共享了此成员变量数据,既然是共享,那么任何一个人修改都会造成其他人数据的改变,所以servlet年代,成员变量是不能作为参数存放的,只能在具体每个线程访问的方法中单独获取方法定义变量...
struts2是否存在线程安全问题?
CSDN19970806的博客
06-28 563
存在。因为struts2的servletContext会随着请求的到来自动生成一个新的
struts1安全问题,和struts2的区别
kingRong的专栏
05-28 172
struts 1.x的一个安全性问题是值得注意的。因为过去的模式是前台页面数据通过actionForm传入,action中的excute方法接收,这个问题是不存在的。 但是,如果在action 中直接定义实例变量,问题就很大了。原因其实也很简单: 为了确保线程安全(thread-safe),在一个应用的生命周期中,Struts框架只会为每个Action类创建一个Action实例(与...
Spring 并发访问的线程安全性问题
热门推荐
何静媛
12-20 3万+
首先对于Spring的IOC来说,对象是由Spring来帮我们管理,也就是在Spring启动的时候,在Spring容器中,由Spring给我们创建的,Spring会帮我们维护,一般都是单例的,也就是一个对象。spring生成对象默认是单例的。通过scope属性可以更改为多例。 下面我们来一个网上的例子: package test; import java.util.Date; impor
浅析Struts1Struts2的Action线程安全问题
virgoboy2004的专栏
09-10 1万+
【问题描述】最近公司安排我面试Java的FreshMan,面试者一般是工作1年多点的新人(这里我就装老一下,其实我也才工作3年不到),在被问及Struts1Struts2的Action的线程安全问题的时候,大多是支支吾吾,答不出所以然。所以在这里我整理一下我个人的理解。   【问题答案】 这是由于Servlet的工作原理产生的。我们先来简单回顾一下Servlet的生命周期“初始化->ini
Struts1Struts2的区别与对比分析
"这篇文章对比了Struts1Struts2两个框架在设计和实现上的主要差异,涵盖了Action类的设计、线程模型、Servlet依赖以及测试的便捷性等多个方面。" Struts1Struts2都是Java Web开发中的MVC框架,它们在处理用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值