struts2改springmvc过程中问题及解决办法记录

版权声明:本文为【java修行路_涂宗勋】原创,若要转载,请【务必】注明出处:http://blog.csdn.net/tuzongxun https://blog.csdn.net/tuzongxun/article/details/75050971

我们目前的系统中使用了struts2框架,该版本是2.3.32,但近期Apache struts发布了一项struts的安全漏洞说明,具体如下:

Apache Struts2 远程代码执行漏洞(S2-048)
发布日期:2017年7月7日
CVE ID:CVE-2017-9791
受影响的版本:
====================
Apache Struts Version: 2.3.x
不受影响的版本:
====================
Apache Struts Version:2.5.10.1
综述:
======
2017年7月7日,Apache Struts发布最新的安全公告,Apache Struts2的Struts1插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048)。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件,远程执行代码。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-048 
规避方案
==========
1. 关闭Showcase插件。
2. 受影响的用户可以升级到2.5.10.1版本。
3. 开发者通过使用resource keys替代将原始消息直接传递给ActionMessage的方式。 如下所示:
messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));
不要使用如下的方式:
messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));
4. 在非必要的情况下禁用struts2-struts1-plugin插件。将struts2-struts1-plugin-2.3.x.jar文件从 “/WEB-INF/lib”目录中移动到其他文件夹或者删除。

根据apache struts的安全漏洞说明,我们的struts版本刚好是这次说的有问题的版本,因此需要根据官方建议升级为2.5.10.1。
但是综合项目实际情况后发现,升级到2.5.10.1的struts2后,官方的规范说明明确指出需要使用jdk7以上版本:
这里写图片描述

因此,若要升级struts2,则必须同时升级目前项目中jdk6版本到jdk7。
考虑到项目实际情况,发现如上述的方式改动,升级jdk6到jdk7后,出现的问题将会更大,因此分析研究后决定直接把struts2的框架替换为spring mvc,在解决本次问题的同时,向目前更主流的框架靠拢。

在整个改造过程中问题诸多,以下是部分问题及解决办法记录,供以后参考:

1、改造之前,尝试运行原来的项目,其中有两个项目mobileFront和mobileFrontQuery,在把两个项目都加入到同一个tomcat的时候报错,提示如下:

Could not publish server configuration for Tomcat v7.0 at localhost.
Multiple Contexts have a path of "/mobileFront".

意思是要部署名为mobileFront的项目,但是现在已经存在了一个。
原因是mobileFront和mobileFontQuery的部署名称都是mobileFront,在同一个tomca中部署两个相同部署名称的项目是不被允许的。
解决办法是更改其中任意一个的部署名称,使其不冲突,具体更改过程如下:

右键项目-- 选择properties -- 点击web project settings --》把context root后的名称改为要部署的新名称 --
打开工作空间,也就是项目文件的存储目录,找到要更改的项目 --》打开.settings文件夹 -- 用编辑器打开org.eclipse.wst.common.component文件 --》把文件中原本项目相关的名称都改为新的项目部署名并保存 --》重启eclipse。

2、依次配置完web.xml,applicationcontext.xml和springmvc.xml,并在controller类以及相应方法中加入相应注解后启动项目,抛出如下异常:

org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'MMarketAction1': Injection of autowired dependencies failed; nested exception is org.springframework.beans.factory.BeanCreationException: Could not autowire field: private com.huateng.mmarket.service.MMarketService 

意思是创建MMarketAction1这个bean失败,因为autowire无法注入MMarketService。
原因是在配置web.xml文件时少了一个spring的监听器:

 <listener>  
    <description>spring监听器</description>  
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
  </listener> 

在web.xml中加入此监听器,再次启动tomcat则不再跑出上述异常。

3、启动tomca时抛出异常:

java.lang.NoSuchMethodError: org.springframework.web.bind.annotation.RequestMapping.consumes()[Ljava/lang/String;

意思是在requestMapping的方法不存在,这个是使用@RequestMapping注解生成url是抛出异常。
原因是在项目中同时存在了两个spring-web的jar包,一个3.0.5版本,一个3.1.1版本,这两个包中都有这个类,包名一样,导致走到这里无法确定该用哪个,最终找不到。
解决办法是去掉3.0.5的jar包,重启tomca后正常。

4、启动tomcat没有抛出异常,但是访问项目时始终提示404,最终发现在tomcat的项目部署路径下的WEB-INF中没有web.xml文件,也就是说这个项目并没有成功部署到tomcat中。
原因是在build path中少了webapp的引入,导致部署的时候并没有扫描webapp下的文件,原本build中如下:
这里写图片描述
解决办法是在build中加入webapp的文件夹,加入后如下:
这里写图片描述
然后clean之后重启tomcat,可正常访问。

5、有同事在正常启动tomcat之后,却无法正常访问,原因是部署名并不是项目名,而他使用项目名称访问,自然就一直是404。解决办法是把部署名称换成项目名称,或者使用实际部署名称访问。

6、struts的action类更改为spring mvc的controller,原struts2情况下,所有action都继承了ActionSupport,并在struts.xml中进行了类似下边的配置:

<action name="rcvSpdbPage" class="com.RcvSpdbPageAction"
method="receive"></action>

name定义url,class定义url对应的具体类,method定义入口方法。
改为springmvc后,去掉对ActionSupport的继承,去掉struts.xml的配置,取代的是在类名上加@controller注解以及在方法上加@RequestMapping注解。
还有一种情况是,需要返回jsp页面,原struts中配置如下:

<action name="rcvSPDBReceive" class="com.RcvSpdbAction"
    method="receive">
   <result name="signPage">/CmuSpdbResultSign.jsp</result>
</action>

改为springmvc后,除开上一中无返回值一样的改法外,还需要更改方法的返回值为ModelAndView
同时在代码中return “signPage”的地方,改为

return new ModelAndView("/CmuSpdbResultSign.jsp");
阅读更多 登录后自动展开

扫码向博主提问

涂宗勋

博客专家

三人行,必有我师。
  • 擅长领域:
  • java
  • mongodb
  • activiti
  • mysql
  • spring
去开通我的Chat快问
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页