struts2

1．strust2框架来历简介：WebWork是由OpenSymphony组织开发的,致力于组件化和代码重用的J2EE Web框架。

(同时也是一个成熟的基于Web的MVC框架)MVC：Model View Controller，model是模型，view是视图，controller是控制器，是一种框架模式。

随着WebWork框架的发展,衍生出了strust2框架,因此strust2框架是WebWork的升级,而不是一个全新的框架,因此稳点性、性能等方面都有很好的保证,而且也同时吸收了struts1框架和WebWork俩者的优点.所以strust2框架也是一个基于Web的MVC框架注意:strust2框架并不是struts1框架的延续或者升级,俩者有着很大的不同2．web项目中的三层架构(和MVC是俩个完全不同的架构)1.表示层(Struts2框架就是工作在这个地方)2.业务逻辑层(service层，处理业务逻辑,比如判断用户名是否存在、密码是否正确、权限是否拥有、账号是否被冻结、账号是否异常、用户积分是否到达操作要求等等，多为一些执行某一个操作条件的判断)3.数据访问层(dao层，专门处理和数据库进行交换的事情，jdbc/hibernate就在这里使用)在项目中,这些不同的分层的表现形式,其实就是在我们自己建的不同的package 中写上各自分层中所使用的java类.比如在项目中我们建了三个package，三个package中java类的作用分别为表示层的代码、业务逻辑层代码、数据访问层代码。

注意：可以理解为，MVC架构是这里说描述的三层架构的一部分，即：三层架构中的表示层可以使用mvc架构的框架来实现，例如使用struts2框架.3．使用struts2框架的好处(为什么要使用struts2框架)减少编程人员代码的编写,使代码更加简洁明了,缩短开发时间,增加开发效率.4．struts2框架引入到web项目中首先使用Eclipse/MyEclipse中建一个web项目.1.把struts2相关jar包引入到项目中。

一、1、struts2struts2是mvc设计思想的一个实现，可以将项目低耦合，提高扩展性2、struts2和struts1的区别struts2不是struts1的升级，而是继承的下xwork的血统，它吸收了struts1和webwork 的优势。

struts2的action是原型，安全的，struts2的action是单例，非安全3、步骤：1、导入包2、在web.xml文件中，加入struts2的核心拦截器3、在src下放入struts2的xml struts.xml4、urlhttp://localhost:8080/Struts2_01_HelloWorld/demo/hello.action二、1、默认值2、转发和重定向的区别转发：url显示的依然是上一个的url,共享上一次的请求重定向：url显示的是下一个的url，不共享3、urlhttp://localhost:8080/Struts2_02_Default/demo/hello.action4、路径http://localhost:8080/Struts2_02_Default/demo/a/b/c/hello.action1、原路径找不到，http://localhost:8080/Struts2_02_Default/demo/a/b/hello.action2、如果1找不到，http://localhost:8080/Struts2_02_Default/demo/a/hello.action3、如果2找不到，http://localhost:8080/Struts2_02_Default/demo/hello.action3、如果3找不到，http://localhost:8080/Struts2_02_Default/hello.action三、11、自定义action继承ActionSupport2、功能方法必须满足格式public String 名字()throws Exception{....};3、urlhttp://localhost:8080/Struts2_03_Action/demo/a.action四、1、如何给action传入参数注意：赋值的必须有封装的set方法，通过el表达式获取的时候，必须有封装的get 方法1、直接给单个参数赋值，在action里建立一个变量，名字与参数的名字一样2、为对象的某个属性赋值，在action里建立一个对象，将参数改为对象名.属性的格式五、1、转发和重定向的区别转发到下一次的时候，url依然是上一次的url，共享上一次的request重定向到下一次的时候，url是下一次的url，不共享上一次的request2、struts2的result的type转发：共享上一次action重定向：不共享上一次action1、转发到下一个jsp,html：dispatcher2、重定向到下一个jsp,html：redirect3、转发到下一个action：chain转到同一个包下的action转发到不同包下的action4、重定向到下一个action：redirectAction转到同一个包下的action转发到不同包下的action六、1、为了分模块开发，可以设置多个xmL文件。

Struts1与struts2的区别总结1，背景：Struts2并不是struts1的升级版，两者没有太大的关系，struts2是继承了webwork的机制，吸收了struts2和webwork的有优势。

Struts2是基于WebWork的一个全新框架. Struts2主要改进是取代了Struts1的Servlet和Action. Struts2的核心框架是当作一个filter来实现其功能的,而Struts1是ActionServlet.然后在Action上,Struts1都少不了要传递Request等参数,还要继承Action父类,而Struts2只要实现了一个public String execute()就可以了,这样Action就可以实现脱离Servlet 测试. Struts2还提供了拦截器(Interceptot)等Struts1所没有的技术.2，Action类Struts1要求action继承一个抽象基类，而struts2既可以继承类又可以实现action对应的接口，即接口编程，可以实现多个接口，使得可选和订制服务成为可能。

3，线程模式Struts1中的action是单例模式，会涉及到线程安全问题，因为仅有一个action来处理所有的请求，而struts2则是非单例模式，每个请求对应一个action，这样就不用考虑线程安全的问题（而且，servlet容器会给每个请求产生可丢弃的对象，这样就不会导致性能和垃圾回收问题）。

4，可测性Struts1中的action有个主要的问题是execute方法暴露了servlet API，这使得测试等需要依赖servlet容器。

一个第三方扩展--struts TestCase--提供了一套struts模拟对象来进行测试；而struts2 中的action可以通过初始化和设置属性（例如action当中直接用get和set方法），调用方法来测试，“依赖式注入”注入也使得测试更容易5，servlet依赖Struts1中的action依赖于servlet API，因为当一个action被调用时，HttpServletRequest和HttpServletResponse对象会被传递给execute方法（请求和响应的对象需要依赖于execute方法，即servlet API）；而struts2中的action则不需要依赖于servlet容器，允许action脱离容器单独被测试（例如：struts2中获取请求的对象可以用ServletActionContext.getRequest()）。

struts2框架特征Struts2框架特征Struts2是一种流行的Java Web应用程序开发框架，其特征使其成为许多开发者的首选。

本文将介绍Struts2框架的特征，包括MVC 架构、强大的标签库、拦截器、数据验证、国际化支持以及灵活的配置等。

一、MVC架构Struts2采用了MVC（Model-View-Controller）架构，将应用程序的业务逻辑、数据模型和用户界面分离。

这种架构使开发者能够更好地组织代码、提高代码的可维护性，并能够更容易地进行代码重用和测试。

在Struts2中，Model代表数据模型，可以是POJO（Plain Old Java Object）或者是与数据库交互的实体类；View代表用户界面，通常是JSP页面；Controller则负责处理用户请求、调用业务逻辑，并将处理结果返回给用户。

二、强大的标签库Struts2提供了丰富的标签库，使开发者能够更轻松地构建用户界面。

这些标签库包括表单标签、数据展示标签、控制流标签等，可以大大简化页面开发的工作量。

例如，开发者可以使用Struts2的表单标签库来生成表单，并自动处理表单的数据绑定、验证和错误提示。

这样，开发者无需手动编写大量的HTML和JavaScript代码，能够更快速地完成表单开发。

三、拦截器Struts2的拦截器是其核心特性之一，可用于在请求到达Controller之前和之后执行一些通用的处理逻辑，如日志记录、权限验证、异常处理等。

开发者可以通过配置拦截器栈，将多个拦截器按照特定的顺序组合起来，实现复杂的请求处理流程。

拦截器的使用使得开发者能够将通用的处理逻辑从业务逻辑中分离出来，提高了代码的可维护性和重用性。

同时，Struts2还提供了许多内置的拦截器，如参数封装拦截器、文件上传拦截器等，方便开发者处理不同类型的请求。

四、数据验证在Web应用程序中，数据验证是一项重要的任务。

Struts2提供了强大的数据验证机制，开发者可以通过简单的配置实现对表单数据的验证。

Struts2基础知识Struts2概述1.Struts2框架应用javaee三层结构中的web层框架。

2.Struts2框架在struts1和webwork基础之上发展的全新框架。

3.Struts2所解决的问题：在以往实现一个功能时，都需要写很多的servlet，从而造成后期维护上的不方便。

图解：4.现在比较稳定的Struts2版本struts-2.3.24-all.zip5.web层常见框架1.struts2.springMVCStruts2框架入门1.导入jar包1.在lib里面有jar包，但不能全部导入，因为里面含有一些spring包，是不能使用的，导入会导致程序不能运行。

2.到app目录里面复制案例的jar包是最好的方法。

2.创建action3.配置action类的访问路径1.创建struts2核心配置文件，该核心配置文件位置和名称是固定的，位置必须在src下面，名称为struts.xml 。

2.引入dtd约束，可以在案例文件中找到，复制在struts.xml文件中即可。

3.action的配置*注意访问路径：http://域名/端口号/项目名/action名.action注意：.action可以省略，但建议不要省略，为了兼容一些老版本的浏览器。

4.配置Struts2的过滤器，可以在案例中的web.xml文件中找到，复制粘贴即可。

Struts2执行过程图解：Struts2配置1.是一种常量标签2.修改Struts2的默认常量值1.常用方式在struts.xml中进行配置。

2.其它两种方式1.在src下面创建struts.properties文件并修改。

2.在web.xml文件中进行修改。

3.Struts2最常用的常量struts.il8n.encoding=UTF-8,解决表单在通过post方式提交中文时，中文乱码的问题。

Struts2笔记(一)可使用全局页面。

1、配置方法：在package标签下配置2、注意：该标签只能在一个package标签中使用，如果有多个标签，需要重新定义。

Struts2入门初步需掌握1.struts2概述2.struts2环境搭建(第一个struts2的应用程序)3.struts.xml文件配置详解4.struts2请求的URL的搜索路径的顺序概述5.struts2工作原理概述6.struts2指定多个配置文件7.struts2动态方法调用8.使用通配符定义action一：简介Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。

Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品。

虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

二：环境搭建搭建Struts2环境时，我们一般需要做以下几个步骤的工作：1.找到开发Struts2应用需要使用到的jar文件.下载官网：/download.cgi#struts221解压后：开始学习使用依赖的最基本的jar 包2：编写Struts2的配置文件解压其中一个案例在此目录下找到struts.xml 文件先拷贝到项目的src 下。

再对起进行修改。

删除剩余如下代码：[html]01.<?xml version ="1.0"encoding ="UTF-8" ?> 02.<!DOCTYPE struts PUBLIC 03."-//Apache Software Foundation//DTD StrutsConfiguration 2.3//EN" 04."/dtds/struts-2.3.dtd"> 05.06.<struts> 07.08. </struts>无法加载插件。

struts2常见面试题Introduction:Struts2是一种用于开发Java Web应用程序的开源Web应用框架。

在软件工程领域，Struts2常常是面试中的热门话题。

本文将介绍一些常见的Struts2面试题，并提供详细解答和示例。

Question 1: 什么是Struts2框架？它的主要特点是什么？Struts2是一个基于MVC设计模式的Web应用框架。

它通过集成多个核心组件（如拦截器、过滤器、表单验证等）提供了一套丰富的功能，用于简化开发和管理Java Web应用程序。

Struts2的主要特点包括：1. 松耦合：Struts2使用基于配置的方式来管理组件之间的依赖关系，降低了模块之间的耦合。

2. 灵活性：开发人员可以根据自己的需求进行扩展和定制，以适应不同的项目需求。

3. 可测试性：Struts2的组件松耦合特点使得单元测试变得容易，并且可以方便地模拟用户请求进行测试。

Question 2: Struts2的核心组件有哪些？Struts2的核心组件包括：1. Action：处理用户请求的核心组件，负责接收请求并执行相应的业务逻辑。

2. Interceptor：用于对请求进行预处理和后处理的拦截器组件。

3. Result：负责生成响应结果，可以是页面视图或其他格式的数据（如JSON、XML等）。

4. FilterDispatcher：负责将请求分发给合适的Action处理。

5. ValueStack：用于存储Action处理的结果数据，支持OGNL表达式以便于数据的访问和操作。

Question 3: 如何定义一个Struts2的Action？在Struts2中，可以通过以下几种方式来定义一个Action：1. 实现Action接口：通过实现Action接口，并提供相应的业务方法来处理请求。

2. 继承ActionSupport类：ActionSupport是一个提供了一些方便方法的抽象类，可以直接继承并实现自己的业务逻辑。

struts2.Struts2课件1Mvc与servlet1.1 Servlet的优点1、是mvc的基础，其他的框架⽐如struts1，struts2，webwork都是从servlet基础上发展过来的。

所以掌握servlet是掌握mvc的关键。

2、Servlet把最底层的api暴漏给程序员，使程序员更能清楚的了解mvc的各个特点。

3、程序员可以对servlet进⾏封装。

Struts2就是从servlet中封装以后得到的结果。

4、市场上任何⼀个mvc的框架都是servlet发展过来的，所以要想学好struts2这个框架，了解servlet的运⾏机制很关键。

1.2 Servlet的缺点1、每写⼀个servlet在web.xml中都要做相应的配置。

如果有多很servlet，会导致web.xml内容过于繁多。

2、这样的结构不利于分组开发。

3、在servlet中，doGet⽅法和doPost⽅法有HttpServletRequest和HttpServletResponse参数。

这两个参数与容器相关，如果想在servlet中作单元测试，则必须初始化这两个参数。

4、如果⼀个servlet中有很多个⽅法，则必须采⽤传递参数的形式，分解到每⼀个⽅法中。

2重构servlet针对servlet以上的特点，我们可以对servlet进⾏重构，使其开发起来更简单。

更容易，更适合团队协作。

重构的⽬标：1、只写⼀个serlvet或者过滤器，我们这⾥选择过滤器。

2、不⽤再写任何的servlet，这样在web.xml中写的代码就很少了。

3、原来需要写serlvet,现在改写action。

4、在action中把HttpServletRequest参数和HttpServletResponse参数传递过去。

5、在过滤器中通过java的反射机制调⽤action。

6、详细过程参照cn.itcast.action包中的内容3Struts2介绍1、struts2是apache组织发明的开源框架。

1. Struts2简介1.1. 什么是Struts21.1.1. Struts2的概念Struts2是轻量级的MVC框架，它主要解决了请求分发的问题，重心在于控制层和表现层。

轻量级，指的是Struts2具有较低的侵入性，就是它对我们业务代码的依赖程度很低，简单来说，在使用Struts2框架时，我们的业务代码中基本上不需要import它的包。

Struts2实现了MVC，满足了MVC设计思想。

在我们使用Struts2做开发的时候，就相当于使用了MVC，这是Struts2自动帮助我们实现的，是默认的、隐含的，我们不需要再写特别的代码来实现MVC了。

作为一个框架，Struts2提供了一系列的API，我们可以使用它们来简化代码的编写，从而提升开发效率。

这些API复用程度很高，对业务代码的依赖性也很小，甚至很多是Struts2自动调用的，因此在很大程度上，我们的开发变得可以复用。

Struts2解决请求分发的问题，我们会在后面为什么使用Struts2中讲解。

重心在控制层和表现层，是纵观整个Struts2理论课程来看的，从中我们会体会到这一点，随着大家对Struts2的逐步了解，届时我们再回顾这一点。

1.1.2. 什么是MVCMVC是代码的分层思想，是软件设计领域经典的设计模式。

它根据代码功能的不同，将一个软件的代码分为3部分，即模型、视图、控制器，这3部分代码的含义和功能如下。

1、M-Model 模型模型（Model）的职责是负责业务逻辑。

包含两层：业务数据和业务处理逻辑。

比如实体类、DAO、Service都属于模型层。

2、V-View 视图视图（View）的职责是负责显示界面和用户交互（收集用户信息）。

属于视图的组件是不包含业务逻辑和控制逻辑的JSP。

3、C-Controller 控制器控制器是模型层M和视图层V之间的桥梁，用于控制流程。

比如：在Servlet项目中的单一控制器ActionServlet。

struts2漏洞原理
Struts2是一种基于Java的开源Web应用框架，它可以帮助开发者快速开发和部署复杂的Web应用程序。

然而，由于Struts2存在一些严重的安全缺陷，攻击者可以利用这些漏洞实施各种攻击，包括远程执行代码、SQL注入和命令注入等。

其中，Struts2远程执行代码漏洞是最为臭名昭著的漏洞之一，该漏洞存在于struts2框架的核心代码里，并且可以通过网络访问执行任意代码，从而导致服务器被完全控制。

攻击者通常通过构造恶意的请求来利用这个漏洞，例如在HTTP请求的头部或参数中插入特殊的代码片段，从而触发struts2的漏洞。

攻击者可以利用这个漏洞执行任意代码，包括删除文件、修改数据、窃取数据等操作。

其原因是，Struts2应用程序在接收到HTTP请求时，会将请求参数转换成Java 对象，并使用一种名为OGNL（Object-Graph Navigation Language）的表达式语言来解析这些对象。

攻击者可以在HTTP请求中注入恶意的OGNL表达式，使其在服务器上执行任意代码。

此外，Struts2还存在一些其他的安全漏洞，包括文件读取漏洞、XSS漏洞和跨站请求伪造（CSRF）漏洞等。

这些漏洞可以通过错误的配置、不安全的代码实现和其他不当的安全实践而导致。

因此，为保障应用程序的安全稳定运行，使用
Struts2开发Web应用程序的开发者需要注意代码的安全性和其他防御性措施的实现。

Sturuts2第一节、Struts2介绍Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。

Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品。

虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

Struts2对Struts1进行了巨大的改进。

主要表现在如下几个方面: 在Action的实现方面：Struts1要求必须统一扩展自Action类，而Struts2中可以是一个POJO。

线程模型方面：Struts1的Action是单实例的，一个Action的实例处理所有的请求。

Struts2的Action是一个请求对应一个实例(每次请求时都新new出一个对象),没有线程安全方面的问题。

Servlet依赖方面：Struts1的Action依赖于Servlet API，比如Action的execute方法的参数就包括request和response对象。

这使程序难于测试。

Struts2中的Action不再依赖于Servlet API，有利于测试，并且实现TDD。

封装请求参数：Struts1中强制使用ActionForm对象封装请求的参数。

Struts2可以选择使用POJO类来封装请求的参数，或者直接使用Action的属性。

表达式语言方面：Struts1中整合了EL，但是EL对集合和索引的支持不强，Struts2整合了OGNL(Object Graph NavigationLanguage)。

绑定值到视图技术：Struts1使用标准的JSP，Struts2使用"ValueStack"技术。

Struts 2的基本流程Struts 2框架由3个部分组成：核心控制器FilterDispatcher、业务控制器和用户实现的业务逻辑组件。

在这3个部分里，Struts 2框架提供了核心控制器FilterDispatcher，而用户需要实现业务控制器和业务逻辑组件。

2.核心控制器：FilterDispatcherFilterDispatcher是Struts 2框架的核心控制器，该控制器作为一个Filter运行在Web应用中，它负责拦截所有的用户请求，当用户请求到达时，该Filter会过滤用户请求。

如果用户请求以action结尾，该请求将被转入Struts 2框架处理。

Struts 2框架获得了*.action请求后，将根据*.action请求的前面部分决定调用哪个业务逻辑组件，例如，对于login.action请求，Struts 2调用名为login的Action来处理该请求。

Struts 2应用中的Action都被定义在struts.xml文件中，在该文件中定义Action时，定义了该Action的name属性和class属性，其中name属性决定了该Action处理哪个用户请求，而class属性决定了该Action的实现类。

Struts 2用于处理用户请求的Action实例，并不是用户实现的业务控制器，而是Action代理——因为用户实现的业务控制器并没有与Servlet API耦合，显然无法处理用户请求。

而Struts 2框架提供了系列拦截器，该系列拦截器负责将HttpServletRequest请求中的请求参数解析出来，传入到Action中，并回调Action 的execute方法来处理用户请求。

显然，上面的处理过程是典型的AOP（面向切面编程）处理方式。

图3.19显示了这种处理模型。

图3.19 Struts 2的拦截器和Action从图3.19中可以看出，用户实现的Action类仅仅是Struts 2的Action代理的代理目标。

struts2 漏洞原理Struts2 是一种开放源代码的 Java Web 应用框架，被广泛应用于构建 Web 应用程序。

然而，Struts2 框架的一个漏洞却给许多应用程序带来了安全隐患。

本文将解释Struts2 漏洞的原理，并提供对于修复漏洞的一些方法。

Struts2 框架漏洞的原理Struts2 框架漏洞源于框架自身的设计缺陷。

设计缺陷使得攻击者可以利用恶意的输入来欺骗 Struts2 框架，从而在应用程序中执行任意的代码。

这种攻击就被称为“远程代码执行攻击”（ Remote Code ExecutionAttack ）。

Struts2 框架的漏洞主要是由于以下两点原因所导致的：· Struts2 使用了 OGNL (Object-Graph Navigation Language) 来解析 EL (Expression Language) 表达式，但没有正确地对表达式进行过滤，这使得恶意行为成为可能。

· Struts2 框架中的相当一部分功能是通过拦截器来实现的。

攻击者可以利用 Struts2 框架中的拦截器漏洞，绕过应用程序的权限控制来访问关键数据或者执行任意代码。

这两点都是 Struts2 框架漏洞的主因。

攻击者可以利用这两个漏洞来构建恶意的请求，并欺骗 Struts2 框架来执行恶意代码。

导致 Struts2 漏洞的例子为了更好地理解 Struts2 漏洞，可以通过一些例子来说明。

以下是一些可能导致 Struts2 框架漏洞的例子：· 未正确过滤用户输入。

比如在 Struts2 编译以数据表格为基础的应用程序时，如果没有过滤 script 标记，那么攻击者就可以通过执行JavaScript来远程控制代码，这就是远程代码执行攻击。

· XML SSI 漏洞。

攻击者可以通过将恶意代码嵌入到XML 消息中来利用该漏洞。

此漏洞允许攻击者利用Struts2 使用 XML 包含的注入布局中的初始资源解析器来绕过安全检查并完成任意文件读取/写入操作。

Struts2 Burp特征1. 引言Struts2是一个用于开发基于Java EE的Web应用程序的开源项目。

它是Apache Struts的下一个版本，并且是一个非常受欢迎的Web应用程序框架。

然而，由于Struts2框架在过去的一些版本中存在一些安全漏洞，黑客可以利用这些漏洞来攻击应用程序。

为了保护Web应用程序免受潜在威胁，开发人员和安全测试人员应该使用Burp Suite来识别和利用这些漏洞。

本文将详细探讨Struts2的Burp特征，说明了如何使用Burp Suite来检测和利用Struts2漏洞。

2. Struts2漏洞概述在开始探讨Burp特征之前，我们先简要概述一下Struts2的一些常见漏洞。

以下是一些常见的Struts2漏洞类型：1.远程代码执行：攻击者可以通过构造特定的请求，注入恶意代码并在服务器上执行。

2.OGNL注入：攻击者可以通过构造恶意OGNL(对象图导航语言)表达式，执行任意代码。

3.任意文件读取：攻击者可以通过构造特定的请求，读取服务器上的任意文件。

4.URL重定向和文件上传：攻击者可以通过构造特定的URL重定向请求或文件上传请求，绕过应用程序的安全限制。

了解这些常见漏洞类型后，我们可以使用Burp Suite来识别和利用这些漏洞。

3. Burp Suite简介Burp Suite是一款功能强大的Web应用程序安全测试工具。

它由PortSwigger开发，是安全测试人员和开发人员常用的工具之一。

Burp Suite提供了一系列的功能，包括代理服务器、漏洞扫描、攻击触发器和数据拦截等。

在使用Burp Suite进行Struts2漏洞测试时，我们主要使用以下几个功能：1.代理服务器：用于拦截和修改应用程序的HTTP流量。

2.Intruder：用于构造和发送恶意请求，以测试应用程序的脆弱性。

3.Repeater：用于重复发送请求，并对响应进行修改和分析。

4. 使用Burp Suite检测Struts2漏洞下面我们将详细介绍如何使用Burp Suite来检测Struts2漏洞。

Struts2面试题1、struts2工作流程Struts 2框架本身大致可以分为3个部分：核心控制器FilterDispatcher、业务控制器Action和用户实现的企业业务逻辑组件。

核心控制器FilterDispatcher是Struts 2框架的基础，包含了框架内部的控制流程和处理机制。

业务控制器Action和业务逻辑组件是需要用户来自己实现的。

用户在开发Action和业务逻辑组件的同时，还需要编写相关的配置文件，供核心控制器FilterDispatcher来使用。

Struts 2的工作流程相对于Struts 1要简单，与WebWork框架基本相同，所以说Struts 2是WebWork的升级版本。

基本简要流程如下：1 、客户端初始化一个指向Servlet容器的请求；2、这个请求经过一系列的过滤器（Filter）（这些过滤器中有一个叫做ActionContextCleanUp的可选过滤器，这个过滤器对于Struts2和其他框架的集成很有帮助，例如：SiteMesh Plugin）3 、接着FilterDispatcher被调用，FilterDispatcher询问ActionMapper来决定这个请是否需要调用某个Action4、如果ActionMapper决定需要调用某个Action，FilterDispatcher把请求的处理交给ActionProxy5、ActionProxy通过Configuration Manager询问框架的配置文件，找到需要调用的Action类6、ActionProxy创建一个ActionInvocation的实例。

7、ActionInvocation实例使用命名模式来调用，在调用Action的过程前后，涉及到相关拦截器（Intercepter）的调用。

8、一旦Action执行完毕，ActionInvocation负责根据struts.xml中的配置找到对应的返回结果。

1.struts2 步骤1.创建web项目2.添加struts2的必须jar包3.添加支持(配置web.xml文件)4.创建界面和相应的action5.配置struts.xml文件6.部署运行项目2.struts2的工作流程1. 浏览器发送一个请求。

2. 核心控制器FilterDispatcher根据请求决定调用合适的Action。

3. 拦截器(Intercepter)自动对请求应用通用功能，如验证等。

4. 回调Action的execute方法，该execute方法根据请求的参数来执行一定的操作。

5. Action的execute方法处理结果信息将被输出到浏览器中，支持多种形式的视图。

3.struts2的配置文件1.web.xml2.struts.xml(核心管理Action映射) 自己配置的3.struts-default.xml是struts2框架默认加载的配置文件。

它定义struts2一些核心的bean和拦截器。

这些拦截器是以key-value对的形式配置在struts-default.xml中，其中name是拦截器名字，就是后面使用该拦截器的引用点，value则指定拦截器的实现类。

4.struts.properties(核心管理属性) 自己配置的5.default.properties(核心管理属性)4.<struts>标签下的子标签配置1.<bean type="com.opensymphony.xwork2.ObjectFactory" name="struts"class="org.apache.struts2.impl.StrutsObjectFactory" />2.<include file="struts1.xml"></include>3.<constant name=“key” value=“value” />4.<package></package>5.package标签下的配置1.<action name="loginAction" class="com.action.loginAction"><result name="success">/welcome.jsp</result><result name="error">/index.jsp</result></action>2.<global-results><result></result></global-results>3.<global-exception-mappings><exception-mapping result="error"exception="java.long.Exception"></exception-mapping></global-exception-mappings>……………………………………6.action类实现Action接口和继承ActionSupport7.通过ActionContext类获得context（request），再通过context获得session和application context.put("key","value");session.put("key","value");session.put("key","value");public class ServletActionContext （org.apache.struts2）public static PageContext getPageContext()public static HttpServletRequest getRequest()public static HttpServletResponse getResponse()public static ServletContext getServletContext()8.在action中直接使用一个对象，两种方式：1.在提交表单时name属性为：对象.xxxx2.实现ModelDriven<类类型>接口和其方法。

一、Struts2入门1.概念什么是Struts2Struts2 是一个用来开发 MVC 应用程序的框架.它提供了 Web 应用程序开发过程中的一些常见问题的解决方案:对页面导航活动进行管理对来自用户的输入数据进行合法性验证统一的布局可扩展性国际化和本地化支持 Ajax表单的重复提交Struts2 VS Struts1Struts2与Struts1 相比，在体系结构方面更优秀，具体表现在类更少，更高效，扩展更容易等。

struts2 不是从 Struts1 扩展而来的, 说它是一个换了品牌标签的 WebWork 更合适。

2.程序Struts2 核心就是一个 Filter,该Filter会对所有的请求进行拦截(/*) StrutsPrepareAndExecuteFilterStrutsPrepareFilter + StrutsExecuteFilterStruts2 将所有的请求拦截下来，具体去访问哪个java类的方法需要读取配置文件 struts.xmlstruts.xml 文件需位于工程的类路径下实现一个 Struts 的 HelloWorld 程序1) 将 %struts2-blank例子%\WEB-INF\lib 目录下所有jar包拷贝至 webproject\WEB-INF\lib 中拷贝至webproject/WEB-INF/web.xml 中3) %struts2-blank例子%\将WEB-INF\classes 下的struts.xml 文件拷贝至工程src下清空 <struts></ struts> 标签之间的内容4) 新建 Action 实例， HelloWorldAction.javaAction可以不必是实现任何接口，它是一个普通java类(pojo),从这点可以看出 Struts2 是非侵入式设计，Action可以不依赖struts和Servlet 而独立存在Action中至少需要定义一个方法，且方法的返回值类型必须为Stringpublic String sayHello() {return "success";}6) 在 WEB-INF 下新建jsp页面hello.jsphello动手练习：用 struts2 实现最简单的mvc二、Struts2 细节1.package 元素配置action的组织包name：配置包名，用于被继承namespace: 配置访问路径以 /a/b/c/action 为例搜索action的顺序为 /a/b/c -- /a/b -- /a -- /extends: 指定继承的包2. action 元素1) name属性配置action的访问名称后缀默认为 action和””可以通过常量进行配置<constant name="struts.action.extension" value="do"></constant>2) class属性配置action对应的java类，必须为完整类名如果继承struts-default 包，默认class 为ActionSupport，该类的 execute方法默认返回 success我们在写 Action 类时通常会选择继承ActionSupport，也就自动继承了 execute 方法，同时可以使用父类定义的常量 SUCCESS、ERROR 等3) method属性配置action的访问方法名，默认访问execute方法4) 通配符映射一个 Web 应用可能有成百上千个 action 声明. 可以利用 struts 提供的通配符映射机制把多个彼此相似的映射关系简化为一个映射关系通配符的映射规则●若找到多个匹配, 没有通配符的那个将胜出●若指定的Action不存在, Struts 将会尝试把这个URI与任何一个包含着通配符 * 的Action名及进行匹配●若 Struts 找到的带有通配符的匹配不止一个, 最后一个匹配将胜出●被通配符匹配到的 URI 字符串的子串可以用 {1}, {2} 来引用. {1} 匹配第一个子串, {2} 匹配第二个子串…{0} 匹配整个 URI●* 可以匹配零个或多个字符, 但不包括 / 字符. 如果想把 / 字符包括在内, 需要使用 **. 如果需要对某个字符进行转义, 需要使用 \.例：<action name="*_add" class="cn.itcast.action.Girl" method="add"></action>匹配路径 Boy_add.action Girl_add.action<action name="Boy_*_*" class="cn.itcast.action.Boy" method="{1}"><result name="success"><param name="location">/WEB-INF/jsp/{2}.jsp</param></result></action>Boy_add_delete 会调用 Boy的add方法，转发给 delete.jsp5) 动态方法调用通过 url 动态调用 Action 中的方法<action name="Boy" class="cn.itcast.action.Boy">/strutsdemo/Boy!add.action 会调用Boy类的add方法默认情况下, Struts 的动态方法调用处于激活状态, 若想禁用该功能, 则可以在 struts.xml 文件中配置常量3. Action 类概念：action: 应用程序可以完成的每一个操作(用户的一个动作) 例如：显示一个登陆表单，保存商品信息Action类：Struts2中的Action是pojo(Plain Old Java Objects一个普通的java类)的,可以定义属性和方法，但需要遵循一些规则：●属性的名字必须遵守与 JavaBeans 属性名相同的命名规则. 属性的类型可以是任意类型. 从字符串到非字符串(基本数据库类型)之间的数据转换可以自动发生●必须有一个不带参的构造器●至少有一个供 struts 在执行这个 action 时调用的方法,方法的返回值为String类型(即视图名称)●同一个 Action 类可以包含多个 action.●Struts2 会为每一个 HTTP 请求创建一个新的 Action 实例4. result 元素配置 action 的执行结果name: 配置result结果名称，根据action执行方法的返回值决定找那个 result默认为 successtype: result 结果类型，默认为 dispatcher 类型常用的result类型●dispatcherdispatcher 结果类型是最常用的结果类型, 也是 struts 框架默认的结果类型用于将控制权转发给web应用中的其他资源默认参数：location 用于指定转发的资源路径，通常为一个jsp页面●redirect用于将响应重定向到另一个资源参数：location : 指定重定向的资源路径parse : 指定是否将location的值视为一个 OGNL 表达式来解析默认值为true●redirectAction用于将响应重定向给另一个Action参数:actionName : 指定目标action, 该属性为默认属性namespace : 指定目标 action 所在的 package●chain用于构成一个 Action 链，前一个action将控制权转发给下一个action,并且前一个action的状态在后一个action中继续保持参数:actionName : 指定目标action, 该属性为默认属性namespace : 指定目标 action 所在的 packagemethod ：指定调用action的方法，默认调用 execute 方法●httpheader用于将把一个 HTTP 状态发送到浏览器默认参数 status ：指定状态码●plaintext将转发的资源作为文本输出 , 不常用。

struts2 工作原理
Struts2是一个用于构建Java web应用程序的开源框架。

它的
工作原理可以简单概括为以下几个步骤：
1. 客户端发送请求：当用户在浏览器中访问一个Struts2应用
程序的URL时，客户端会发送一个HTTP请求到服务器。

2. DispatcherServlet接收请求：服务器上运行的Servlet容器
（如Tomcat）接收到HTTP请求后，会通过web.xml配置文
件将请求发送给Struts2的核心组件DispatcherServlet。

3. 动作(Action)处理：DispatcherServlet根据配置文件中的信息，确定请求对应的Action类，并创建该类的实例。

Action是一
个POJO（Plain Old Java Object）类，用于处理具体的业务逻辑。

4. 结果视图(View)解析：Action类中的方法执行完业务逻辑后，会返回一个结果视图。

Struts2的结果视图可以是JSP页面、HTML、JSON等格式。

DispatcherServlet根据配置文件中指定
的结果视图解析器，将结果视图转化为最终的响应内容。

5. 结果响应：DispatcherServlet将最终的响应内容发送给客户端，客户端浏览器会将响应内容渲染并呈现给用户。

在这个过程中，Struts2框架提供了一系列的核心组件来协助
处理请求和响应，包括拦截器（Interceptor）、值栈（ValueStack）、类型转换器（Type Converter）等。

这些组件
能够帮助开发者处理表单提交、数据验证、数据转换等常见的web开发任务，从而简化开发过程。