Struts2文件上传(二) 深入FileUploadInterceptor

 Struts2框架本身没有文件上传的功能模块,而是利用现在流行的几个文件上传开源框架,如Common-FileUpload和COS等。 Struts2利用拦截器将这些文件上传的框架巧妙的集成进来,不能不被称为一个优秀的拿来主义者。由于拦截器的使用,我们使用Struts2实现文件上 传变的非常容易,似乎什么也没发生,文件已经上传到服务器了,但如果仅仅是使用这个功能,可能永远不知道Struts2为你做了多少事情。最近有点闲,分 析了下下Struts2源码,才弄清楚其中的真相,笔记一下,以免遗忘。

  Struts2利用request解析器来集成其他的文件上传 框架,Struts2提供了默认的request解析器 JakartaMultiPartRequest,在default.properties的struts.multipart.parser参数就是配 置request解析器,默认为jakarta也就是JakartaMultiPartRequest。当然,你也可以设置成cos,不过Struts2 没有提供适配cos的request解析器,你得自己实现,然后配置到自己的应用。JakartaMultiPartRequest也就是利用 Common-FileUpload来对request进行解析,然后保存解析结果。具体工作就是利用Common-FileUpload的 ServletFileUpload对request进行解析,得到所有的FileItem的list,然后对这个list进行分析。如果是文件上传表 单,则以表单的name属性分组,以表单name属性为key,对应的FileItem列表为Value保存到一个Map中。 JakartaMultiPartRequest的工作已经完成,当然,这个Map中保存的所有的FileItem,框架已经将文件保存到一个临时目录里 了,这个临时目录你也可以配置,参数为struts.multipart.saveDir,还要配置一个文件上传总大小,参数为 struts.multipart.maxSize。

  接着就是FileUploadInterceptor的工作了,他的工作也非常简 单。首先进行验证,如文件上传大小限制,上传类型限制验证等。然后以表单名来构造三个参数,例如:你的文件上传表单name为upload,则这三个参数 为:upload,uploadContentType,uploadFileName。然后保存到ActionContext的PARAMETERS 中,当然如果表单很多,而且表单名又不同,他就会产生不同表单名对应的参数。最后系统的ParametersInterceptor拦截器会将 ActionContext的getParameters()得到的各个参数映射赋值给Action的各个属性,这就是为什么我们在开发文件上传的时候一 定要在Action中提供与表单名相同的File对象(如果一个表单名又多个上传文件,这是可以是File数组或是File的List),文件 名+ContentType,和文件名+FileName 这三种参数。

框架为我们所做的就是这些了,剩下的就是文件拷贝了。现在我们来注意下Action的这几个参数,其中File对象(当然也可能是数组或 List),这时他们已经指向系统临时目录里的某个文件,或是系统的内存里的数据了。在我们传输数据时,实际上是从这个临时文件或内存将数据库拷贝到上传 目录里去的,当执行完Action之后,FileUploadInterceptor会将临时目录里所有临时文件删除,这也是为什么上传文件完成后会有一 些日志显示说删除了一些临时文件的原因。

  现在实现一个简单的文件上传,首先熟悉下几个参数配置:

  1.struts.multipart.parser  配置request解析器,Struts2默认为jakarta 也就是JakartaMultiPartRequest,我们也 可以自己开发自己的解析器。

   2.struts.multipart.saveDir  上传文件的临时保存目录,我们知道Common-FileUpload需要提供一个临时目录的。如果没有设置,则是 ServletContext.getAttribute("javax.servlet.context.tempdir")对应的目录,对应于 Common-FileUpoad中的repository参数。

  3.struts.multipart.maxSize 这个是配置文件上传总大小,单位为B,默认大小为2097152b,对应于Common-FileUpload中的sizeMax参数。

  在配置FileUploadInterceptor时候也有几个参数:

  1.maximumSize  这是设置允许上传的单个文件的大小,如果某个文件大小大于这个大小,则会产生一个错误保存到Action中,错误的i18n的key为struts.messages.error.file.too.large

   2.allowedTypesSet 这是设置允许上传文件的类型,多个类型以逗号“,”隔开,如果某个文件的类型没在这个设置之类,则会产生一个错误保存到Action中,错误的i18n的 的key为struts.messages.error.content.type.not.allowed

3.allowedExtensionsSet这是设置允许上传文件的后缀,多个类型以逗号“,”隔开,如果某个文件的后缀没在这个设置之类,则会 产生一个错误保存到Action中,错误的i18n的的key为 struts.messages.error.file.extension.not.allowed

  struts.xml配置示例:

  Xml代码   

  这里我们配置了fileUpload拦截器,我们还必须吧dufaultStack加上,由于defaultStack中已经包含了fileUpload拦截器,所以fileUpload拦截器会执行俩遍,所以我们会在日志信息中看到俩次清除临时文件的记录。

  UploadAction:

  Java代码 

 

页面表单示例:  Html代码 

这样,一个简单的文件上传就实现了,但是感觉文件上传无声无息,特别上传大文件,等了很长时间才知道有没有上传成功,要是有上传进度条能及时显示上传进度,这样的文件上传的功能才能算完善了,上传进度条的功能下篇再写。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
struts2是一种基于Java的开源框架,用于开发Web应用程序。在早期版本的struts2中存在一个安全漏洞,即struts2 020任意文件下载。这个漏洞允许攻击者下载服务器上的任意文件,可能是敏感信息或者可执行文件。 当一个struts2应用程序被配置为使用动态方法调用(DMI)时,攻击者可以构造一个恶意的URL请求,通过漏洞获取和下载任意文件。攻击者可以通过URL中的特殊字符和参数来伪造请求,并使用已知文件路径的结尾来读取文件内容或执行文件。 为了解决这个漏洞,struts2社区发布了相应的安全补丁。开发者应该及时升级他们的struts2版本,并遵循最佳实践来防止任意文件下载漏洞。 以下是一些防止struts2 020任意文件下载漏洞的措施: 1. 及时更新struts2版本:确保使用的是最新的稳定版本,这样可以最大程度地减少已知漏洞带来的风险。 2. 输入验证和过滤:对用户输入进行验证和过滤,尤其是文件的路径或文件名参数。可以使用安全的文件路径自检函数,如struts2提供的FileUploadInterceptor。 3. 安全配置:在struts.xml配置文件中,禁用动态方法调用(DMI),并限制只允许访问必要的Action方法。 4. 强化访问控制:确保只有授权用户能够访问敏感文件,并在服务器上采取必要的安全措施来限制对文件的访问。 5. 安全审计:定期进行安全审计,查找潜在的漏洞和弱点,并修复它们。 总的来说,struts2 020任意文件下载漏洞是一个严重的安全威胁。为了保护应用程序和服务器的安全,开发者应该及时升级版本,并采取适当的安全措施来防止攻击者利用这个漏洞获取敏感信息或执行恶意文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值