struts升级至2.5.26遇到的各种bug及解决方案

已于 2022-04-21 16:27:29 修改
阅读量1w 收藏 38
点赞数 9
分类专栏: Bug 文章标签: bug java struts2
于 2021-01-08 21:03:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845227/article/details/112383542
版权

1、背景

    由于struts2自身的漏洞“【安全】关于Struts2 S2-061 远程代码执行漏洞(CVE-2020-17530)”,所以需要将struts2.3.35相关jar升级至2.5.26版本。而项目本身用的是1.6或1.7的JDK,在更新过程中,遇到了许多的问题,所以将遇到的问题及解决方案总结,对JDK1.8的同学也会有帮助的。

2、2.5.26的jar包的内部代码改动

2.1、将xwork-core.jar整合进struts2-core-2.5.26.jar中

    原先的xwork-core.jar是一个独立的jar,在2.5.26版本中,这个jar包被整合进struts2-core.jar当中。
    因此大家在更新jar包的时候除了替换相应的jar包外,还需要删除xwork-core.jar。

2.2、StrutsPrepareAndExecuteFilter路径修改

    原先的路径为org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter,现在修改为
org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter,去掉了“ng.”。
    因此在升级jar之后,原先在web.xml中如果有导入这个类(一般都会有导入),那么需要进行路径替换;或者在自己定义的java类中有引用这个类,也需要进行替换。

2.3、struts2-core-2.5.26中 getParameters()返回类型修改

     getParameters() 方法的完整路径为 com.opensymphony.xwork2.ActionContext.getParameters(),原先返回的类型为 Map<String, Object>,如图
现在返回类型改为了 HttpParameters类型,如图
关于修改的区别,在稍后的bug处理上详细解释 ,此处感谢小林同学 二、Struts2.3.32升级到Struts2.5.26详细步骤(无敌版)

2.4、struts2-core-2.5.26中的 escape()修改为 escapeHtml()

setEscapeHtml()方法所在的完整路径为struts2-core-2.5.26.jar!\org\apache\struts2\views\jsp\PropertyTag.clas
原先的方法名为escape(),这个方法是定义jsp的标签,是否将内容以html代码进行读取

3、升级过程

3.1、2.5.26版本升级包下载地址

3.2、下载出来的压缩包解压

    得到的lib中的jar包有90个,这些jar包有的不支持1.6或者1.7的JDK环境,所以我只更新了其中的核心jar,其它的根据报错信息,一步步解决。替换的jar如下

3.3、修改StrutsPrepareAndExecuteFilter路径

(1)将org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter修改为org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter;
(2)将java类中有导入StrutsPrepareAndExecuteFilter的地方做同步修改,原因见2.2

3.4、jsp标签属性值修改

(1)escape改为改为改为escapeHtml,原因见2.4;
(2)id改为var,注意不是h5的id属性,因为2.5.26中此属性已废除,如下
<s:iterator value="" status="status" var="var">

3.5、struts.xml头文件问题

原来的头文件如下 
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN" "http://struts.apache.org/dtds/struts-2.0.dtd">

  链接的版本是2.0版本的,很多教程中说要将2.0改成2.5,经过我自己尝试这个修改不是必须的。要想知道原因首先要知道这个头文件的作用。

这个头文件链接的网址其实是一种规范,定义了struts.xml文件中定义的标签是遵循2.0还是2.5的规范,至于具体规范是什么,很容易读,这里就不赘述了。经过我自己查看两个版本差别不大。而我认为既然以前标签没有做修改,那么遵循的规范版本也没必要修改。个人意见,仅供参考!
     至此,理论上的升级就结束了,当然实际上遇到了各种bug,bug及解决方案如下

4、Bug解决

    首先说下这次的更新官方提供的jar包是在是太坑爹了,很多jar都是需要JDK1.8的环境才能运行。只是官方你认为JDK.8流行起来的时候,正经人谁还用struts框架,而我的项目都是1.6、1.7版本的,直接替换官方提供的90个jar怕是老大要拿我祭天的好嘛,所以只替换了步骤3.2中截图到的几个jar,然后开始了漫长的报bug、修bug之路。

4.1.1 bug描述

Caused by: java.lang.NoClassDefFoundError: Lorg/apache/logging/log4j/Logger;

4.1.2 解决方案

添加步骤3.2中的两个log4j的jar包即可

4.2.1 bug描述

Caused by: java.lang.NoSuchMethodError: org.apache.commons.lang3.text.StrSubstitutor.setValueDelimiter(Ljava/lang/String;)Lorg/apache/commons/lang3/text/StrSubstitutor;
at com.opensymphony.xwork2.config.providers.EnvsValueSubstitutor.<init>(EnvsValueSubstitutor.java:35) [struts2-core-2.5.26.jar:2.5.26]

4.2.2 解决方案

Commong-lang.jar升级为3.7版本

4.3.1 bug描述

Caused by: java.lang.NoClassDefFoundError: org/apache/struts2/dispatcher/StrutsResultSupport
at java.lang.ClassLoader.defineClass1(Native Method) [rt.jar:1.7.0_211]
at java.lang.ClassLoader.defineClass(ClassLoader.java:808) [rt.jar:1.7.0_211]
at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142) [rt.jar:1.7.0_211]
at org.jboss.modules.ModuleClassLoader.doDefineOrLoadClass(ModuleClassLoader.java:326)
at org.jboss.modules.ModuleClassLoader.defineClass(ModuleClassLoader.java:390)
... 32 more

4.3.2解决方案

    添加StrutsResultSupport.class文件,文件内容可以去原来的jar包中获取,位置在org\apache\struts2\dispatcher\StrutsResultSupport.class

4.4.1 bug描述

java.lang.NoSuchMethodError: com.opensymphony.xwork2.ActionContext.getParameters()Ljava/util/Map;

4.4.2解决方案

    查看自己报错的位置,一定是有个地方调用了ActionContext.getParameters()方法,然后再接收时用的Map类型接收,如下 
Map<String, Object> map = actionContext.getParameters();
将接收类型改为,如下 
HttpParameters map = actionContext.getParameters();

此处这样修改的原因见步骤2.3

4.5.1 bug描述

java.lang.ClassCastException: Parameter  cannot be cast to String

    具体堆栈信息忘记记录了,大抵就是类型转换异常,Parameter 不能转换为 String类型

4.5.2 解决方案

    这个报错和bug4有一定关联,还是未升级前代码
Map<String, Object> map = actionContext.getParameters();
    此处的Map<String, Object>中的object是可以强制转化为String[]的,但是升级后,由于成为了如下的代码。
HttpParameters map = actionContext.getParameters();
HttpParameters继承了Map<String, Parameter>,所以此处自然不能强制转化为String[]了,如果你报了这个异常,说明你是想要取到存储的String[]数组,那么可以使用如下的方法进行获取,想将其用Parameter接收,然后调用getMultipleValues()方法即可。
((Parameter)entry.getValue()).getMultipleValues()

4.6.1 bug描述

java.lang.NoSuchMethodError: org/apache/commons/lang3/reflect/MethodUtils.getAnnotation(Ljava/lang/reflect/Method;Ljava/lang/Class;ZZ)Ljava/lang/annotation/Annotation;

4.6.2 解决方案

在commons-lang3-3.3.1.jar!\org\apache\commons\lang3\reflect\MethodUtils.class文件的末尾处添加getAnnotation()和其依赖的getAllSuperclassesAndInterfaces()的方法

总结

    由于自己项目JDK版本较低,不可能大范围的修改jar包,只能替换一下核心的jar,然后根据报错逐步修改源码或者升级jar包。大家如果有遇到相似的问题可以帮助少走弯路。最后再表达下我对struts框架的无奈!!!
谷同学
关注
  • 9
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
struts2 升级 获取 file_struts从2.3.35升级2.5.26
weixin_31082779的博客
01-25 505
替换jar包替换相关的jar,可以从官网下载,本人是从中央仓库下载的【地址:https://mvnrepository.com/】。不联网本地安装jar包到本地仓库的命令:mvn install:install-file -Dfile=D:\local\struts2-core-2.5.26.jar -DgroupId=org.apache.struts -DartifactId=s...
struts2从2.3.15.1升级到2.3.35
10-11
struts2从2.3.15.1升级到2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包,以及升级过程中值得注意的事项
String工具之StringSubstitutor 字符替换
最新发布
Mr朱鹏的博客
04-29 478
String工具之StringSubstitutor 字符替换
struts升级
吕纬甫
03-03 604
1,在进行struts2.0.8升级到2.3.16的过程中,出现了META-INF/c.tld:6 unknown element `xsi:schemaLocation' in `taglib'的错误 而在项目当中也存在c.tld文件,在删除了之后仍然出现那个错误,所以可以将问题指向项目中的JAR包。先说一下项目: 用的是struts2.0.8,jar包,其中包含了standard1.1,将
struts2.3升级2.5.26
RunningAndLaughing的博客
07-01 347
替换jar javassist-3.20.0-GA.jar commons-beanutils-1.9.4.jar commons-fileupload-1.4.jar commons-io-2.6.jar commons-lang3-3.8.1.jar freemarker-2.3.30.jar log4j-1.2.17.jar log4j-api-2.12.1.jar ognl-3.1.28.jar s...
struts2.3.32版本升级升级步骤
04-13
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.52.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
struts2.3.24升级2.5.26.zip
06-16
struts2.3.24升级2.5.26一些jar包和注意事项
Struts2升级2.5.30,问题解决及过程记录
05-05
在本文中,我们将探讨将Struts2从旧版本升级2.5.30的过程中可能遇到问题及其解决方案升级Struts22.5.30的主要目标是利用新版本提供的增强功能和安全补丁。Struts2的每个新版本通常包含对前一版本的兼容...
struts2.3升级2.5.26.docx
07-01
struts2.3升级2.5.26
struts2-core-2.5.30.jar下载
05-12
struts2升级jar包
struts-2.5.26-min-lib.zip
10-12
标题中的"struts-2.5.26-min-lib.zip"表示这是一个包含了Struts2框架最小运行库的压缩包,版本为2.5.26。这个压缩包主要包含了运行Struts2应用程序所必需的jar文件。 描述中提到的"struts2所需jar包",意味着这个...
Struts2.3.15.1版本升级到2.3.32详细流程
12-13
Struts2.3.15.1版本升级到2.3.32版本详细流程,可解决Struts 2远程执行代码漏洞
Struts2漏洞2.0.xx升级Struts-2.5.12步骤
08-17
本人测试通过。Struts2漏洞2.0.xx升级Struts-2.5.12步骤。压缩包包含升级步骤,及struts2.5.12所需要的libs.
struts升级2.3步骤
02-25
struts升级2.3的变化很大,需要修改的地方很多,特此记录struts升级2.3步骤
struts-2.5.26-all.zip
03-03
struts-2.5.26-all.zip
struts2-core-2.5.26.jar
12-09
struts2-core-2.5.26.jar安全版本,Struts是Apache软件基金(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架
struts升级2.5.30详细步骤
qq_2643637341的博客
06-01 5425
1、struts2升级所涉及的jar包如下图,其中前五个jar包均为适配struts2-2.5.30版本所需。如果没有对应jar包则直接导入,如已经存在则需要将旧版本剔除后再导入,同时需要剔除原有的xwork-core-2.3.8.jar包。2、在web.xml中将原有的filter变更为如下路径: 3、修改所有struts.xml相关配置文件中的版本头信息,统一将版本改为2.5:4、如果action配置文件中存在使用通配符的情况,如xxx_*,因为struts2-2.5.30版本对安全性有所提升,限制
struts2.3.32升级2.5.26
qq_38572473的博客
01-26 988
由于struts漏洞,现必须将struts升级2.5.26版本 需升级jar包 1.Struts2-core2.5.26 2.Commons-lang3 3.8.1 3.Ognl 3.1.28 需添加jar包 Log4j-api-2.12.1 需删除jar包 xwork-core(因为新版Struts2-core中已包含xwork-core) 需修改的文件 所有的struts.xml文件 头改成<!DOCTYPE struts PUBLIC "-//Apache Software F
Struts2.3.32升级Struts2.5.26详细步骤(无敌版)
weixin_41271981的博客
12-24 7954
Struts2真是三天两头爆出漏洞来,特别是一爆出漏洞就建议升级到最新版,也是无语的,并且最新版相比老板还相差挺大的,这部这次需要从Struts2.3.32一下子就必须升级到最新版,这可让人头大,谷歌百度了几天都没有解决方案,大概是因为每个人的项目都是不同的吧,有些用纯注解,有些用配置文件,所以可能适合你的解决方案却不适合别人,最终还是得靠自己解决,下面整理了一下我的解决方案,其中有些错误只能通过修改源码来搞定的。 ###一、项目背景 这里先要说一下要升级的项目背景,因为不同架构的项目升级方法可能有差异,我
struts2升级2.5.30
10-28
升级struts22.5.30版本,主要有以下几个方面的改进和优化。 1. Bug修复:新版本修复了之前版本中的一些已知问题和漏洞,提高了系统的稳定性和安全性。用户升级后可以避免之前版本存在的一些潜在问题和风险。 2. 性能优化:新版本对struts2的性能进行了优化,提升了系统的响应速度和并发处理能力。升级后,系统可以更高效地处理大量请求和并发访问,提供更好的用户体验。 3. 功能增强:新版本增加了一些新功能和特性,拓展了struts2的应用场景和功能范围。用户可以根据自身需求,更灵活地使用struts2框架,实现更多样化的功能。 4. 安全增强:升级2.5.30版本可以提升系统的安全性,减少潜在的安全风险。新版本对一些已知的安全漏洞进行了修复,并加强了对用户输入的验证和过滤,防止常见的安全攻击。 5. 兼容性:为了保证升级的平滑进行,新版本保持与之前版本的兼容性,尽量减少对已有功能和代码的影响。用户可以相对轻松地进行升级,降低了系统迁移的风险和成本。 总之,升级struts22.5.30版本,可以获得更好的性能、功能和安全性。此外,新版本的兼容性较好,升级过程也相对较简单,建议用户尽早进行升级,以便享受更好的使用体验和更安全可靠的系统运行环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值