Struts2之文件下载

文件上传链接:

1)Servlet 文件上传 ———— 点击打开链接

2)Struts2 文件上传 ————点击打开链接



文件下载是一个很常见的功能,用struts2实现文件下载的步骤:


一)定义一个Action类,FileDownload.java

package com.struts2.filedownload; import java.io.InputStream; import org.apache.struts2.ServletActionContext; import com.opensymphony.xwork2.ActionSupport; //文件下载 public class FileDownload extends ActionSupport{ private int number ; private String fileName; public int getNumber() { return number; } public void setNumber(int number) { this.number = number; } public String getFileName() { return fileName; } public void setFileName(String fileName) { this.fileName = fileName; } //返回一个输入流,作为一个客户端来说是一个输入流,但对于服务器端是一个 输出流 public InputStream getDownloadFile() throws Exception { if(1 == number) { this.fileName = "Dream.jpg" ; //获取资源路径 return ServletActionContext.getServletContext().getResourceAsStream("upload/Dream.jpg") ; } else if(2 == number) { this.fileName = "jd2chm源码生成chm格式文档.rar" ; //解解乱码 this.fileName = new String(this.fileName.getBytes("GBK"),"ISO-8859-1"); return ServletActionContext.getServletContext().getResourceAsStream("upload/jd2chm源码生成chm格式文档.rar") ; } else return null ; } @Override public String execute() throws Exception { return SUCCESS; } }
二)在struts.xml文件中配置相关信息

<struts> <package name="struts2" extends="struts-default"> <action name="FileDownload" class="com.struts2.filedownload.FileDownload"> <result name="success" type="stream"> <param name="contentType">text/plain</param> <param name="contentDisposition">attachment;fileName="${fileName}"</param> <param name="inputName">downloadFile</param> <param name="bufferSize">1024</param> </result> </action> </package> </struts>

1.结果类型必须要写成 type="stream" ,与之对应的处理类是 org.apache.struts2.dispatcher.StreamResult


2.涉及到的参数:


3.

1) <param name="contentDisposition">attachment;fileName="${fileName}"</param>

contentDisposition默认是 inline(内联的), 比如说下载的文件是文本类型的,就直接在网页上打开,不能直接打开的才会打开下载框自己选择

2) attachment :下载时会打开下载框

3) fileName="${fileName}" :在这定义的名字是一个动态的,该名字是显示在下载框上的文件名字


4.<param name="inputName">downloadFile</param>,这个downloadFile名字要和FileDownload.java类中的getDownloadFile()方法名去掉get 一致


三)用于显示下载的链接界面 filedownload.jsp

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <base href="<%=basePath%>"> <title>My JSP 'filedownload.jsp' starting page</title> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="cache-control" content="no-cache"> <meta http-equiv="expires" content="0"> <meta http-equiv="keywords" content="keyword1,keyword2,keyword3"> <meta http-equiv="description" content="This is my page"> <!-- <link rel="stylesheet" type="text/css" href="styles.css"> --> </head> <body> <h2>文件下载内容:</h2><br/> Dream.jpg:<a href="FileDownload.action?number=1">点击下载</a><br/> jd2chm源码生成chm格式文档.rar:<a href="FileDownload.action?number=2">点击下载2</a> </body> </html>
















  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
struts2是一种基于Java的开源框架,用于开发Web应用程序。在早期版本的struts2中存在一个安全漏洞,即struts2 020任意文件下载。这个漏洞允许攻击者下载服务器上的任意文件,可能是敏感信息或者可执行文件。 当一个struts2应用程序被配置为使用动态方法调用(DMI)时,攻击者可以构造一个恶意的URL请求,通过漏洞获取和下载任意文件。攻击者可以通过URL中的特殊字符和参数来伪造请求,并使用已知文件路径的结尾来读取文件内容或执行文件。 为了解决这个漏洞,struts2社区发布了相应的安全补丁。开发者应该及时升级他们的struts2版本,并遵循最佳实践来防止任意文件下载漏洞。 以下是一些防止struts2 020任意文件下载漏洞的措施: 1. 及时更新struts2版本:确保使用的是最新的稳定版本,这样可以最大程度地减少已知漏洞带来的风险。 2. 输入验证和过滤:对用户输入进行验证和过滤,尤其是文件的路径或文件名参数。可以使用安全的文件路径自检函数,如struts2提供的FileUploadInterceptor。 3. 安全配置:在struts.xml配置文件中,禁用动态方法调用(DMI),并限制只允许访问必要的Action方法。 4. 强化访问控制:确保只有授权用户能够访问敏感文件,并在服务器上采取必要的安全措施来限制对文件的访问。 5. 安全审计:定期进行安全审计,查找潜在的漏洞和弱点,并修复它们。 总的来说,struts2 020任意文件下载漏洞是一个严重的安全威胁。为了保护应用程序和服务器的安全,开发者应该及时升级版本,并采取适当的安全措施来防止攻击者利用这个漏洞获取敏感信息或执行恶意文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值