升级原因:struts2 2.3的版本会出现一些问题:
攻击者可以远程执行代码命令,上传木马文件至服务器,获取服务器控制权限等。
修补建议 官方已发布了安全补丁,建议将 Struts 升级到 2.5 或以上。
升级步骤:
1、去官网下载struts2.5的jar包。
我保存的一些jar包:https://pan.baidu.com/s/1vMkfuy21MNiaHyosK3h3lQ
提取码:iug3
2、替换下列jar包:
3、替换jar包(注意:并不是图片里有的都要放到自己的项目中,自己的项目中用到了哪些,就替换掉哪些,要注意的是:如果你的项目中没有用到log4j.xml在换成2.5以后,运行tomcat启动项目,总是会提示你项目中缺少log4j.xml,这个问题自己建立一个log4j.xml放在src下,配一些最基本的东西就可以了,如果原来的项目是log4j.jar要保留,把log4j-api-2.8.2.jar也是要拷贝进去不然的话,在删除log4j.jar之后会报错,tomcat启动不起来。
4、之后要在自己的web.xml中修改下面代码:
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
把org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter 中的.ng 去掉 修改为
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
5、修改之后,需要前往struts.xml中 把原先的头部信息修改为:
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
6、方法访问不到的问题,,需要在每个action配置文件中加上 strict-method-invocation=“false”:
7、注意tomcat版本问题,要tomcat7.0.8以上。Jdk7或者以上。