struts2原理

Struts2框架工作原理及应用体会

图1
二、Struts2 工作原理（一） Struts2 框架组成。Struts2 框架由三个主要部分组成：核心控制器、业务控制器，以及由用户实现的业务逻辑组件。这里我们将侧重于核心控制器与业务控制器的理解与说明。
（二）核心控制器： FilterDispatcher。 FilterDispatcher 是 Struts2 框架的核心控制器，在此，我们可以将 FilterDispatcher 看作一个类似于过滤网的过滤器。当用户发出请求，并到达 Web 硬哟那种时，该过滤器会过滤用户请求。如果用户请求的结尾为 action，则将该请求转入 Struts2 框架进行处理。当 Struts2 框架获得了* ． actio 请求后，会根据请求前面“* ”的那部分内容，决定调用哪个业务逻辑组件作为响应单位。这里需要说明的是 Struts2 用来处理用户请求的 Action 实例并不是业务控制器，而是作为 Action 的代理———正因为 Struts2 的一大特点，与 Servlet API 的非耦合性，使得用户实现的业务控制器无法直接处理用户请求。有效的提高了后期调试维护的效率。而 Struts2 框架再次提供了了一系列的拦截器。这些拦截器负责将 HttpServletRequest 请求的参数解析出来，传入 Action 中，并毁掉 Action 的 Execute 方法来处理用户请求。用户实现的 Action 类仅作为 Struts2 的 Action 代理的代理目标。用户实现的业务控制器则包含了对用户请求的处理。用户的请求数据包含在 HttpServletRequest 对象中，而用户的 Action 类无需访问 HttpServletRequest 对象。拦截器负责将 HttpServletRequest 里的请求数据解析出来，并传给业务逻辑组件 Action 实例。

Struts2漏洞利用原理及OGNL机制

Struts2漏洞利⽤原理及OGNL机制Struts2漏洞利⽤原理及OGNL机制研究概述在MVC开发框架中，数据会在MVC各个模块中进⾏流转。

⽽这种流转，也就会⾯临⼀些困境，就是由于数据在不同MVC层次中表现出不同的形式和状态⽽造成的：View层—表现为字符串展⽰数据在页⾯上是⼀个扁平的、不带数据类型的字符串，⽆论数据结构有多复杂，数据类型有多丰富，到了展⽰的时候，全都⼀视同仁的成为字符串在页⾯上展现出来。

数据在传递时，任何数据都都被当作字符串或字符串数组来进⾏。

Controller层—表现为java对象在控制层，数据模型遵循java的语法和数据结构，所有的数据载体在Java世界中可以表现为丰富的数据结构和数据类型，你可以⾃⾏定义你喜欢的类，在类与类之间进⾏继承、嵌套。

我们通常会把这种模型称之为复杂的对象树。

数据在传递时，将以对象的形式进⾏。

可以看到，数据在不同的MVC层次上，扮演的⾓⾊和表现形式不同，这是由于HTTP协议与java的⾯向对象性之间的不匹配造成的。

如果数据在页⾯和Java世界中互相传递，就会显得不匹配。

所以也就引出了⼏个需要解决的问题：1．当数据从View层传递到Controller层时，我们应该保证⼀个扁平⽽分散在各处的数据集合能以⼀定的规则设置到Java世界中的对象树中去。

同时，能够灵活的进⾏由字符串类型到Java中各个类型的转化。

2．当数据从Controller层传递到View层时，我们应该保证在View层能够以某些简易的规则对对象树进⾏访问。

同时，在⼀定程度上控制对象树中的数据的显⽰格式。

我们稍微深⼊思考这个问题就会发现，解决数据由于表现形式的不同⽽发⽣流转不匹配的问题对我们来说其实并不陌⽣。

同样的问题会发⽣在Java世界与数据库世界中，⾯对这种对象与关系模型的不匹配，我们采⽤的解决⽅法是使⽤如hibernate，iBatis等框架来处理java对象与关系数据库的匹配。

现在在Web层同样也发⽣了不匹配，所以我们也需要使⽤⼀些⼯具来帮助我们解决问题。

struct2

Struts2相关Struts2是一个按照MVC模式设计的web层框架,其实Struts2就是一个大大的filter,我们可以在web.xml文件中讲符合某种特征的所有请求交给这个filter处理,这个filter再参照一个配置文件(通常为/WEB-INF/classes/struts.xml)将各个请求分别分配给不同的action去处理!Struts2的核心FilterDispatcher, 从2.1.3版本开始, 换成了StrutsPrepareAndExecuteFilter. 官方为什么要做这个升级呢?首先看下官方给的Struts2工作原理图:Struts2工作原理(基于看完上图的理解):当一个HttpServletRequest请求来了,先经过ActionContextCleanUp过滤器,清除Action环境,再经过其他的过滤器,例如说SiteMesh和用户自定义过滤器等等, 最后到达Struts2的核心过滤器StrutsPrepareAndExecuteFilter,此时,StrutsPrepareAndExecuteFilter会去找ActionMapping看此Action路径是否存在,如果存在,则会参照Struts.xml文件产生Action的代理,并且执行Action,Struts2很多功能是靠拦截器完成的,所以这个Action代理真正调用Action的处理请求的方法的时候会经过拦截器1,2,3,才真正调用Action的方法,Action方法结束后会返回一个视图,视图也会去参照ActionMapping,还会参照Template(JSP,FreeMarker),此时,拦截器会再次拦截(说明Struts2的拦截器是进入Action和返回结果的时候都会拦截的,这比Filter好!),最后产生HttpServletResponse,相应结果!我们也看到了, 老版本上面, 我们需要的别的过滤器全部要放在Struts2的过滤器之前. 但是我现在有个需求: 我想在我的过滤器里面做一些事,需要Struts2的环境(ActionContext), 但是又需要在Struts2的Action执行之前. 这个时候, 老版本的那个过滤器就只能两眼望青天了.打个比方, 好比一个病人要做手术, 做手术需要打麻药(自定义过滤器)和动手术(Struts2的过滤器), 请问打麻药要怎么打呢? 不能让病人站着吧.. 所以首先要准备一个床(ActionContext), 之后打麻药, 再手术. 这也就是StrutsPrepareAndExecuteFilter真正的含义. 可以分成StrutsPrepareFilter,StrutsExecuteFilter, 如果没有像之前那样的需求,我们一般都用StrutsPrepareAndExecuteFilter就可以了.。

Struts2的介绍及总结

Struts2在WebWork基础上发展起来的，可扩展的JAVA EE web框架。

框架设计的目标贯穿整个开发周期，从开发到发布，包括维护的整个过程。

Action类：Struts 2 Action类可以实现一个Action接口，也可实现其他接口，使可选和定制的服务成为可能。

Struts2提供一个ActionSupport基类去实现常用的接口。

Action接口不是必须的，任何有execute标识的POJO 对象都可以用作Struts2的Action对象。

线程模式：Struts2Action对象为每一个请求产生一个实例，因此没有线程安全问题。

Servlet依赖：Struts 2 Action不依赖于容器，允许Action脱离容器单独被测试。

如果需要，Struts2 Action仍然可以访问初始的request和response。

但是，其他的元素减少或者消除了直接访问HttpServetRequest 和 HttpServletResponse的必要性。

可测试性：Struts2 Action可以通过初始化、设置属性、调用方法来测试，“依赖注入”支持也使测试更容易。

捕获输入：Struts2直接使用Action属性作为输入属性，消除了对第二个输入对象的需求。

Action属性能够通过web页面上的taglibs访问。

表达式语言：Struts 2 使用"ValueStack"技术，使taglib能够访问值而不需要把你的页面（view）和对象绑定起来。

ValueStack策略允许通过一系列名称相同但类型不同的属性重用页面（view）。

Struts2不仅支持JSTL，Struts2 还可使用OGNL进行类型转换。

提供基本和常用对象的转换器。

校验：Struts2支持通过validate方法和XWork校验框架来进行校验。

XWork 校验框架使用为属性类类型定义的校验和内容校验，来支持chain校验子属性。

struts2核心工作流程与原理

struts2核心工作流程与原理做为一名技术人员，听到太多关于.net和java的比较的话题。

我想对那些技术人员说，请先了解一下什么是java（或者.net）吧，其实你根本不了解。

这是Struts2官方站点提供的Struts 2 的整体结构。

一个请求在Struts2框架中的处理大概分为以下几个步骤1.客户端提起一个（HttpServletRequest）请求,如上文在浏览器中输入”http://localhost:8080/TestMvc/add.action”就是提起一个（HttpServletRequest）请求。

2.请求被提交到一系列（主要是三层）的过滤器（Filter），如（ActionContextCleanUp、其他过滤器（SiteMesh等）、 FilterDispatcher）。

注意这里是有顺序的，先ActionContextCleanUp，再其他过滤器（SiteMesh等）、最后到 FilterDispatcher。

3.FilterDispatcher是控制器的核心，就是mvc中c控制层的核心。

下面粗略的分析下我理解的FilterDispatcher工作流程和原理：FilterDispatcher进行初始化并启用核心doFilter其代码如下：public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain ) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;ServletContext servletContext = filterConfig.getServletContext();// 在这里处理了HttpServletRequest和HttpServletResponse。

struts2入门教程一(环境搭建,基本案例实现)CSDN

Struts2入门初步需掌握1.struts2概述2.struts2环境搭建(第一个struts2的应用程序)3.struts.xml文件配置详解4.struts2请求的URL的搜索路径的顺序概述5.struts2工作原理概述6.struts2指定多个配置文件7.struts2动态方法调用8.使用通配符定义action一：简介Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。

Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品。

虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

二：环境搭建搭建Struts2环境时，我们一般需要做以下几个步骤的工作：1.找到开发Struts2应用需要使用到的jar文件.下载官网：/download.cgi#struts221解压后：开始学习使用依赖的最基本的jar 包2：编写Struts2的配置文件解压其中一个案例在此目录下找到struts.xml 文件先拷贝到项目的src 下。

再对起进行修改。

删除剩余如下代码：[html]01.<?xml version ="1.0"encoding ="UTF-8" ?> 02.<!DOCTYPE struts PUBLIC 03."-//Apache Software Foundation//DTD StrutsConfiguration 2.3//EN" 04."/dtds/struts-2.3.dtd"> 05.06.<struts> 07.08. </struts>无法加载插件。

struts2常见面试题

struts2常见面试题Introduction:Struts2是一种用于开发Java Web应用程序的开源Web应用框架。

在软件工程领域，Struts2常常是面试中的热门话题。

本文将介绍一些常见的Struts2面试题，并提供详细解答和示例。

Question 1: 什么是Struts2框架？它的主要特点是什么？Struts2是一个基于MVC设计模式的Web应用框架。

它通过集成多个核心组件（如拦截器、过滤器、表单验证等）提供了一套丰富的功能，用于简化开发和管理Java Web应用程序。

Struts2的主要特点包括：1. 松耦合：Struts2使用基于配置的方式来管理组件之间的依赖关系，降低了模块之间的耦合。

2. 灵活性：开发人员可以根据自己的需求进行扩展和定制，以适应不同的项目需求。

3. 可测试性：Struts2的组件松耦合特点使得单元测试变得容易，并且可以方便地模拟用户请求进行测试。

Question 2: Struts2的核心组件有哪些？Struts2的核心组件包括：1. Action：处理用户请求的核心组件，负责接收请求并执行相应的业务逻辑。

2. Interceptor：用于对请求进行预处理和后处理的拦截器组件。

3. Result：负责生成响应结果，可以是页面视图或其他格式的数据（如JSON、XML等）。

4. FilterDispatcher：负责将请求分发给合适的Action处理。

5. ValueStack：用于存储Action处理的结果数据，支持OGNL表达式以便于数据的访问和操作。

Question 3: 如何定义一个Struts2的Action？在Struts2中，可以通过以下几种方式来定义一个Action：1. 实现Action接口：通过实现Action接口，并提供相应的业务方法来处理请求。

2. 继承ActionSupport类：ActionSupport是一个提供了一些方便方法的抽象类，可以直接继承并实现自己的业务逻辑。

01、struts2(Struts2开发入门、常用配置、参数传递) - 副本

1. Struts2简介1.1. 什么是Struts21.1.1. Struts2的概念Struts2是轻量级的MVC框架，它主要解决了请求分发的问题，重心在于控制层和表现层。

轻量级，指的是Struts2具有较低的侵入性，就是它对我们业务代码的依赖程度很低，简单来说，在使用Struts2框架时，我们的业务代码中基本上不需要import它的包。

Struts2实现了MVC，满足了MVC设计思想。

在我们使用Struts2做开发的时候，就相当于使用了MVC，这是Struts2自动帮助我们实现的，是默认的、隐含的，我们不需要再写特别的代码来实现MVC了。

作为一个框架，Struts2提供了一系列的API，我们可以使用它们来简化代码的编写，从而提升开发效率。

这些API复用程度很高，对业务代码的依赖性也很小，甚至很多是Struts2自动调用的，因此在很大程度上，我们的开发变得可以复用。

Struts2解决请求分发的问题，我们会在后面为什么使用Struts2中讲解。

重心在控制层和表现层，是纵观整个Struts2理论课程来看的，从中我们会体会到这一点，随着大家对Struts2的逐步了解，届时我们再回顾这一点。

1.1.2. 什么是MVCMVC是代码的分层思想，是软件设计领域经典的设计模式。

它根据代码功能的不同，将一个软件的代码分为3部分，即模型、视图、控制器，这3部分代码的含义和功能如下。

1、M-Model 模型模型（Model）的职责是负责业务逻辑。

包含两层：业务数据和业务处理逻辑。

比如实体类、DAO、Service都属于模型层。

2、V-View 视图视图（View）的职责是负责显示界面和用户交互（收集用户信息）。

属于视图的组件是不包含业务逻辑和控制逻辑的JSP。

3、C-Controller 控制器控制器是模型层M和视图层V之间的桥梁，用于控制流程。

比如：在Servlet项目中的单一控制器ActionServlet。

struts2面试题

struts2面试题Struts2是一个基于Java开发的Web应用程序框架，被广泛应用于企业级Java应用开发中。

在面试中，面试官可能会提出一些关于Struts2的问题，以评估应聘者的技术水平。

下面是一些常见的Struts2面试题及其详细答案，希望对你在面试中有所帮助。

1. 什么是Struts2？Struts2是一个轻量级的、基于MVC模式的Web应用程序框架。

它采用Java Servlet API和JavaServer Pages (JSP)技术，并提供了一种简单易用的方式来开发可维护和可扩展的Web应用程序。

2. Struts2的主要特性是什么？Struts2的主要特性包括：- MVC架构：将应用程序分为模型、视图和控制器，使开发更容易管理和扩展。

- 拦截器：通过拦截器可以在请求处理的各个阶段添加自定义的逻辑。

- 标签库：提供了丰富的标签库，简化了页面开发。

- 表单验证：提供了灵活且强大的表单验证机制，可以验证用户输入的数据。

- 国际化支持：支持多语言和本地化。

- 配置简单：通过配置文件来管理应用程序的行为。

3. Struts2的工作原理是什么？Struts2的工作原理如下：1) 客户端发送HTTP请求到服务器。

2) 服务器将请求交给Struts2的过滤器(Filter)。

3) 过滤器通过配置文件找到对应的Action，并调用相应的方法。

4) Action处理请求，并返回一个结果页面的名称或一个结果对象。

5) 结果页面的名称通过配置文件进行映射，服务器将其发送给客户端。

4. 什么是Struts2中的Action类？Action类是Struts2框架中的核心组件，用于处理Web请求。

一个Action类对应一个业务功能，其包含了要执行的方法和数据。

它负责接收请求、处理业务逻辑、将结果返回给前端页面。

5. Struts2中的拦截器是什么？有哪些内置的拦截器？拦截器是Struts2中的组件，用于在请求处理的各个阶段添加自定义的逻辑。

Struts2介绍

Struts2集成指南关于Struts2Struts是Apache软件基金会（ASF）赞助的一个开源项目。

它最初是Jakarta项目中的一个子项目，并在2004年3月成为ASF的顶级项目。

它通过采用Java Servlet／JSP技术，实现了基于Java EE Web应用的Model-View-Controller〔MVC〕设计模式的应用框架〔Web Framework〕，是MVC经典设计模式中的一个经典产品。

Struts，a history在Java EE的Web应用发展的初期，除了使用Servlet技术以外，普遍是在JavaServer Pages（JSP）的源代码中，采用HTML与Java代码混合的方式进行开发。

因为这两种方式不可避免的要把表现与业务逻辑代码混合在一起，都给前期开发与后期维护带来巨大的复杂度。

为了摆脱上述的约束与局限，把业务逻辑代码从表现层中清晰的分离出来，2000年，Craig McClanahan采用了MVC的设计模式开发Struts。

后来该框架产品一度被认为是最广泛、最流行JAVA的WEB应用框架。

Craig McClanahan2006年，WebWork与Struts这两个优秀的Java EE Web框架（Web Framework〕的团体，决定合作共同开发一个新的，整合了WebWork与Struts优点，并且更加优雅、扩展性更强的框架，命名为“Struts 2”，原Struts的1.x版本产品称为“Struts 1”。

至此，Struts项目并行提供与维护两个主要版本的框架产品——Struts 1与Struts 2。

Struts1 vs. Struts2侵入性Struts 1在编程方面是面向抽象类编程，而不是面向接口编程。

Struts 1要求自定义Action 类继承一个特定的抽象基类Action。

另一方面，Struts 1的 Action 依赖于 Servlet API，因为Struts 1 Action 的execute 方法中有HttpServletRequest 和HttpServletResponse 方法。

struts2漏洞原理

struts2漏洞原理
Struts2是一种基于Java的开源Web应用框架，它可以帮助开发者快速开发和部署复杂的Web应用程序。

然而，由于Struts2存在一些严重的安全缺陷，攻击者可以利用这些漏洞实施各种攻击，包括远程执行代码、SQL注入和命令注入等。

其中，Struts2远程执行代码漏洞是最为臭名昭著的漏洞之一，该漏洞存在于struts2框架的核心代码里，并且可以通过网络访问执行任意代码，从而导致服务器被完全控制。

攻击者通常通过构造恶意的请求来利用这个漏洞，例如在HTTP请求的头部或参数中插入特殊的代码片段，从而触发struts2的漏洞。

攻击者可以利用这个漏洞执行任意代码，包括删除文件、修改数据、窃取数据等操作。

其原因是，Struts2应用程序在接收到HTTP请求时，会将请求参数转换成Java 对象，并使用一种名为OGNL（Object-Graph Navigation Language）的表达式语言来解析这些对象。

攻击者可以在HTTP请求中注入恶意的OGNL表达式，使其在服务器上执行任意代码。

此外，Struts2还存在一些其他的安全漏洞，包括文件读取漏洞、XSS漏洞和跨站请求伪造（CSRF）漏洞等。

这些漏洞可以通过错误的配置、不安全的代码实现和其他不当的安全实践而导致。

因此，为保障应用程序的安全稳定运行，使用
Struts2开发Web应用程序的开发者需要注意代码的安全性和其他防御性措施的实现。

struts2工作原理-开源框架

org.apache.struts2.dispatcher Struts2的核心包，最重要的类都放在该包中。
org.apache.struts2.impl 该包只定义了3个类，他们是StrutsActionProxy、StrutsActionProxyFactory、StrutsObjectFactory，这三个类都是对xwork的扩展。
/**
*ConstantforanHTTPrequest dispatcher}.
*/
publicstaticfinal String SERVLET_DISPATCHER =
"com.opensymphony.xwork2.dispatcher.ServletDispatcher";
/**
*ConstantfortheHTTPresponseobject.
*/
publicstaticfinal String HTTP_RESPONSE = "com.opensymphony.xwork2.dispatcher.HttpServletResponse";
/**
*Constantfortheservlet context}object.
*/
publicstaticfinal String SERVLET_CONTEXT = "com.opensymphony.xwork2.dispatcher.ServletContext";
以下是对各包的简要说明：
包名说明
org.apache.struts2. components 该包封装视图组件，Struts2在视图组件上有了很大加强，不仅增加了组件的属性个数，更新增了几个非常有用的组件，如updownselect、doubleselect、datetimepicker、token、tree等。

Struts2课件

Sturuts2第一节、Struts2介绍Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。

Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品。

虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

Struts2对Struts1进行了巨大的改进。

主要表现在如下几个方面: 在Action的实现方面：Struts1要求必须统一扩展自Action类，而Struts2中可以是一个POJO。

线程模型方面：Struts1的Action是单实例的，一个Action的实例处理所有的请求。

Struts2的Action是一个请求对应一个实例(每次请求时都新new出一个对象),没有线程安全方面的问题。

Servlet依赖方面：Struts1的Action依赖于Servlet API，比如Action的execute方法的参数就包括request和response对象。

这使程序难于测试。

Struts2中的Action不再依赖于Servlet API，有利于测试，并且实现TDD。

封装请求参数：Struts1中强制使用ActionForm对象封装请求的参数。

Struts2可以选择使用POJO类来封装请求的参数，或者直接使用Action的属性。

表达式语言方面：Struts1中整合了EL，但是EL对集合和索引的支持不强，Struts2整合了OGNL(Object Graph NavigationLanguage)。

绑定值到视图技术：Struts1使用标准的JSP，Struts2使用"ValueStack"技术。

struts2 漏洞原理

struts2 漏洞原理Struts2 是一种开放源代码的 Java Web 应用框架，被广泛应用于构建 Web 应用程序。

然而，Struts2 框架的一个漏洞却给许多应用程序带来了安全隐患。

本文将解释Struts2 漏洞的原理，并提供对于修复漏洞的一些方法。

Struts2 框架漏洞的原理Struts2 框架漏洞源于框架自身的设计缺陷。

设计缺陷使得攻击者可以利用恶意的输入来欺骗 Struts2 框架，从而在应用程序中执行任意的代码。

这种攻击就被称为“远程代码执行攻击”（ Remote Code ExecutionAttack ）。

Struts2 框架的漏洞主要是由于以下两点原因所导致的：· Struts2 使用了 OGNL (Object-Graph Navigation Language) 来解析 EL (Expression Language) 表达式，但没有正确地对表达式进行过滤，这使得恶意行为成为可能。

· Struts2 框架中的相当一部分功能是通过拦截器来实现的。

攻击者可以利用 Struts2 框架中的拦截器漏洞，绕过应用程序的权限控制来访问关键数据或者执行任意代码。

这两点都是 Struts2 框架漏洞的主因。

攻击者可以利用这两个漏洞来构建恶意的请求，并欺骗 Struts2 框架来执行恶意代码。

导致 Struts2 漏洞的例子为了更好地理解 Struts2 漏洞，可以通过一些例子来说明。

以下是一些可能导致 Struts2 框架漏洞的例子：· 未正确过滤用户输入。

比如在 Struts2 编译以数据表格为基础的应用程序时，如果没有过滤 script 标记，那么攻击者就可以通过执行JavaScript来远程控制代码，这就是远程代码执行攻击。

· XML SSI 漏洞。

攻击者可以通过将恶意代码嵌入到XML 消息中来利用该漏洞。

此漏洞允许攻击者利用Struts2 使用 XML 包含的注入布局中的初始资源解析器来绕过安全检查并完成任意文件读取/写入操作。

第七章 MVC框架技术Struts2

第七章 MVC框架技术 Struts2
本章要点
Struts2配置及应用程序原理 Action的设计方法与结果类型服务器端的输入验证 Struts2国际化、标签库和OGNL表达式拦截器、文件上传和下载

7.1 Struts2概述

Struts框架的历史
• Struts在经历了1.x的若干版本后，最终发展到2.0版本，也就是我们常说的Struts2。它是 Struts和WebWork相互结合的产物，代表了 WEB框架的最新技术和规范。本书中Struts2 的内容以最新的Struts2.2.3版本为准。
7.3 输入验证

使用validate()方法
• 要进行输入验证，Action类要继承ActionSupport，并重写 validate()方法。 • 当请求Action的时候，请求中的参数会自动去填充Action的模型中的同名属性，如果能够从字符串自动转换成相应的Java数据类型，则转换成功，否则会抛出异常。如果类型转换成功，则填充属性，并在调用业务方法前，执行validate()方法来判断所有输入数据的合法性，例如长度是否够，是否是空值等。 • 输入验证可以针对不同的业务方法，例如，对登录进行输入验证， vaidate()方法可以命名成validateLogin()。如果同时有 validate()方法，执行的顺序是先调用validateLogin()，再调用 validate()，前面的方法验证没通过，后面的方法不再执行。

此外，还有SessionAware、ServletResponseAware、 ServletRequestAware、ParameterAware等接口。

多方法的Action
• 前面所定义的Action都是通过execute()方法处理请求。在实际的应用中，如果为每个业务逻辑定义一个Action，虽然实现方便，但是Action数量多，struts.xml中需要配置的内容也多，使系统非常庞杂。实际上，可以用一个Action处理多个业务请求。 • 以YbUserAction为例，可以为每个操作定义一个方法，这些方法的格式和execute()方法一样。

学习笔记1(struts2_form工作原理,struts2自动调用set get 方法来输入数据)

这个jsp文件里面的struts2标签。

的form标签。

用法：在jsp文件里面直接添加s:form标签即可。

里面需要加上需要发出的action（活动）名称。

S:textfield里面必须要加上其值的name（名称）。

Label（前面的label标签内容）‘
Submit里面加上提交按钮的值。

原理：单击Submit按钮以后。

地址转向hello 的这个action。

然后处理这个请求的class为
指向HelloWorldActoin 。

提交的同时还把该form表格里面的数据一起提交。

该类里面有个静态参数：userName.
Struts2在接收到该action请求后，会自动调用里
面的set*****方法。

把form里面的数据提交给该
class处理。

这些都是自动处理。

无需人工操作。

但
是该类里面必须要求一个公共的set get方法。

如：
有了自动的方法。

excute方法里面可以随意使用数
据，而无需调用set() get()方法。

注意：使用时注意编码的问题。

struts2基本学习教学

继续框架的学习：Struts2：MVC ←→SpringMVC (不要打架)Oracle：DB ←→MySQL (一些语法还是有差异的，不要打架) Hiberante：DAO ←→MyBatis （都是实现持久化的，不要打架）SSH整合的一个简单的CRUD案例！SSH: spring struts2 hibernate1，Struts2框架是一个MVC框架M(javabean) V(view) C(前端(核心)控制器，业务控制器)2，阐述Struts2的框架原理请求到达前端(核心)控制器从ActionMapper对象中查找ActionMapping对象获得ActionInvoker对象并执行Action返回视图3，在编写Struts2代码之前再介绍一个框架（了解）Struts2是Struts1的一个”延伸”(其实两个框架没有关系)其实Struts2的前身并不是struts1，它其实来自另一框架：webworkStruts1这个框架的控制器是Servlet，这个框架与servlet是严重耦合的！（ActionServlet）Struts1中的控制器是单例的！Struts2跟Servlet无关！Struts2中的控制器是多例的！4，开发Struts2的项目（学框架就是用别人的东西，学别人定义的规则）1）引入JAR包commons-fileupload-*.*.jar : 实现文件上传commons-logging-*.*.jar : apache下提供的一个日志包freemarker-*.*.jar : 提供视图解析的ognl-*.*.jar: struts2中的一个新特性，提供对象图导航语言struts2-core-*.*.jar ：struts2的核心包xwork-core-*.*.jar : webwork的核心包2）在开发之前介绍几个文件：在struts2-core-*.*.jar中文件：struts-default.xml满足约束：文件中定义了组件：<bean> : 是struts2中要使用的bean对象<result-type> : 定义了struts2中视图的响应方式<interceptor>: 定义拦截器在struts2-core-*.*.jar中的org.apache.struts2包中文件：default.properties文件中定义开发的语言环境以及url的默认扩展名3）开发31）配置核心控制器(是一个过滤器) 在web.xmlorg.apache.struts2.dispatcher.FilterDispatcher (过时)org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter (使用)32）View –> JSP编写自己的配置文件：在src下struts.xml满足33）编写ActionAction可以是一个普通的javabean，不需要实现任何接口或者继承任何类！（当然也可以去实现Action接口或者继承ActionSupport类）视图传值给Action：规则是视图组件的name必须和action中的属性名保持一致！！（注：方法的执行顺序Setter –> execute）5，如果在Action中要使用request，response，session，application对象，struts2框架提供了如下机制：去实现XxxAware接口6，如果在struts.xml中希望有多个action的name相同，可以使用不同package进行管理。

Struts2原理浅析

JavaEE把MVC设计模式引入了web领域，并在此基础上机构出了称为Model2的体系。

从上图不难看出，其实在配置文件配置的拦截器顺序，在ActionInvocation调度的时候，其实是一个递归算法，每个interceptor 类里面代码被invocation.invoke()分成两部分，前一部分都会在执行Action的execute方法之前执行，然后再拦截器按反序再执行后半部分。

从struts2.1.3版本开始，官方团队极力推荐用StrutsPrepareFilter取代原ActionContextCleanUp，用StrutsExecuteFilter取代原FilterDispatcher，并在全新的核心控制器StrutsPrepareAndExecuteFilter中集成了StrutsPrepareFilter和StrutsExecuteFilter的功能。

这个时候在struts2的StrutsPrepareAndExecuteFilter与一系列拦截器Interceptor实现了Model2架构，如下图：其实图中的ActionContextCleanUp改成StrutsPrepareFilter，第三步的FilterDispatcher之前会执行StrutsExecuteFilter，不得不说官方团队也有偷懒的时候，在最新的2.3.4版本中的文档估计是以前2.1版本的图。

上图是我修改后的流程图，技术粗糙请见谅。

这是官方文档中的介绍：1.The web browser requests a resource (/mypage.action, /reports/myreport.pdf, et cetera)2.The Filter Dispatcher looks at the request and determines the appropriate Action3.The Interceptors automatically apply common functionality to the request, like workflow, validation, and file upload handling4.The Action method executes, usually storing and/or retrieving information from a database5.The Result renders the output to the browser, be it HTML, images, PDF, or something else要想灵活运用struts2个人认为必须对常用的类非常熟悉，那么不得不提到Action的基类ActionSupport了。

struts2反序列化原理

struts2反序列化原理Struts2 反序列化原理Struts2 是一个流行的 Java Web 应用程序框架，它使用 Java 反射和对象序列化来实现面向对象的开发模式。

在 Struts2 中，用户提交的数据将通过 HTTP 请求发送到服务器，并在服务器端进行处理。

其中一个重要的安全问题就是反序列化漏洞，攻击者可以利用这个漏洞执行恶意代码，从而导致严重的安全问题。

反序列化是将对象从字节流转换为内存对象的过程。

在 Struts2 中，用户提交的数据可以通过 HTTP 请求的参数传递给服务器端的Action 类。

这些参数将被解析并将其值设置到 Action 类的属性中，然后在服务器端进行处理。

由于 Struts2 使用了 Java 的反射机制，可以动态地创建对象并设置其属性值。

这就意味着，一个恶意用户可以通过构造特定的序列化对象来触发反序列化漏洞。

在 Struts2 中，反序列化漏洞主要是由于服务器端未正确验证和过滤用户提交的数据导致的。

攻击者可以构造一个特定的序列化对象，并将其作为参数传递给服务器端的 Action 类。

当服务器端尝试将该参数的值反序列化为对象时，恶意代码将被执行。

为了防止反序列化漏洞，开发者需要注意以下几点：1. 验证和过滤用户提交的数据：开发者应该对用户提交的数据进行验证和过滤，确保只有合法的数据才能被反序列化。

可以使用正则表达式、白名单等方式来验证和过滤数据。

2. 使用安全的序列化方式：在 Struts2 中，默认使用的是 Java 的序列化方式，这是一种不安全的方式。

开发者可以考虑使用其他安全的序列化方式，如 JSON、XML 等。

这些方式可以提供更好的安全性和灵活性。

3. 更新框架和依赖库：Struts2 框架和其依赖库经常会发布安全更新，开发者应及时更新框架和依赖库，以修复已知的安全漏洞。

4. 使用安全的配置：开发者应该确保 Struts2 的配置文件中没有暴露敏感信息，如数据库连接字符串、密码等。

struts2 工作原理

struts2 工作原理
Struts2是一个用于构建Java web应用程序的开源框架。

它的
工作原理可以简单概括为以下几个步骤：
1. 客户端发送请求：当用户在浏览器中访问一个Struts2应用
程序的URL时，客户端会发送一个HTTP请求到服务器。

2. DispatcherServlet接收请求：服务器上运行的Servlet容器
（如Tomcat）接收到HTTP请求后，会通过web.xml配置文
件将请求发送给Struts2的核心组件DispatcherServlet。

3. 动作(Action)处理：DispatcherServlet根据配置文件中的信息，确定请求对应的Action类，并创建该类的实例。

Action是一
个POJO（Plain Old Java Object）类，用于处理具体的业务逻辑。

4. 结果视图(View)解析：Action类中的方法执行完业务逻辑后，会返回一个结果视图。

Struts2的结果视图可以是JSP页面、HTML、JSON等格式。

DispatcherServlet根据配置文件中指定
的结果视图解析器，将结果视图转化为最终的响应内容。

5. 结果响应：DispatcherServlet将最终的响应内容发送给客户端，客户端浏览器会将响应内容渲染并呈现给用户。

在这个过程中，Struts2框架提供了一系列的核心组件来协助
处理请求和响应，包括拦截器（Interceptor）、值栈（ValueStack）、类型转换器（Type Converter）等。

这些组件
能够帮助开发者处理表单提交、数据验证、数据转换等常见的web开发任务，从而简化开发过程。