2. 程式人生 > >struts2 <allowed-methods > 標簽配置

struts2 <allowed-methods > 標簽配置

阿新 發佈:2018-02-08
inter .html n) internal start 什麽 文件的 錯誤 ftw

1.在struts2 2.5版本中添加了對方法訪問的權限,如果沒有被添加到<allow-method> 方法的標簽,將會報一下錯誤

5:05:18.078 [http-apr-8020-exec-8] ERROR org.apache.struts2.dispatcher.Dispatcher - Could not find action or result: /core/DayFirst!login.do
com.opensymphony.xwork2.config.ConfigurationException: Method login for action DayFirst is not allowed!
 

    at com.opensymphony.xwork2.DefaultActionProxy.prepare(DefaultActionProxy.java:203) ~[struts2-core-2.5.14.1.jar:?]
    at com.opensymphony.xwork2.DefaultActionProxyFactory.createActionProxy(DefaultActionProxyFactory.java:76) ~[struts2-core-2.5.14.1.jar:?]
    at org.apache.struts2.rest.RestActionProxyFactory.createActionProxy(RestActionProxyFactory.java:
 
50) ~[struts2-rest-plugin-2.5.14.1.jar:?]
    at org.apache.struts2.dispatcher.Dispatcher.serviceAction(Dispatcher.java:564) [struts2-core-2.5.14.1.jar:?]
    at org.apache.struts2.dispatcher.ExecuteOperations.executeAction(ExecuteOperations.java:79) [struts2-core-2.5.14.1.jar:?]
    at org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:
 
141) [struts2-core-2.5.14.1.jar:?]
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241) [catalina.jar:7.0.73]
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208) [catalina.jar:7.0.73]
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:218) [catalina.jar:7.0.73]
    at org.apache.catalina.core.StandardContextValve.__invoke(StandardContextValve.java:122) [catalina.jar:7.0.73]
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java) [catalina.jar:7.0.73]
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:505) [catalina.jar:7.0.73]
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:169) [catalina.jar:7.0.73]
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103) [catalina.jar:7.0.73]
    at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:958) [catalina.jar:7.0.73]
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116) [catalina.jar:7.0.73]
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:452) [catalina.jar:7.0.73]
    at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1087) [tomcat-coyote.jar:7.0.73]
    at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637) [tomcat-coyote.jar:7.0.73]
    at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.doRun(AprEndpoint.java:2517) [tomcat-coyote.jar:7.0.73]
    at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.run(AprEndpoint.java:2506) [tomcat-coyote.jar:7.0.73]
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) [?:1.7.0_79]
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) [?:1.7.0_79]
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-coyote.jar:7.0.73]
    at java.lang.Thread.run(Thread.java:745) [?:1.7.0_79]

解決方法:在struts2 的配置文件中加上<allowed-methods >regex:*</allowed-methods>即可。配置文件如下

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC
        "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
        "http://struts.apache.org/dtds/struts-2.5.dtd">

<struts>
    <constant name="struts.i18n.encoding" value="UTF-8"/>
    <constant name="struts.action.extension" value="do"/>
    <constant name="struts.devMode" value="true"/>
    <constant name="struts.enable.DynamicMethodInvocation" value="true"></constant>
    <package name="core" namespace="/core" extends="struts-default">
        <action name="*.*" class="com.controller.{1}Action" method="{2}">
            <result name="success" >/WEB-INF/view/success.jsp</result>
            <!--這個配置是修復struts的漏洞-->
            <allowed-methods >regex:*</allowed-methods>
        </action>
    </package>
</struts>

當然問題是解決了,看著也很簡單就是正則表達式,但是struts2 的原理是什麽為什麽要這麽做?

1.struts2 為什麽要對訪問的方法加以控制?查看這篇文章就了解了http://www.freebuf.com/vuls/128668.html

2.分析怎麽解決這個問題的。首先在控制臺查看異常,最先出現異常的類先打印,所以直接看第一行的異常DefaultActionProxy.java:203 ,找到如下地方

技術分享圖片

配置文件是在server容器啟動時候就開始執行了,為什麽會這樣,是因為配置文件的初始化放在struts2 的strutsPrepareAndExcuteFilter 的init() 方法中。再看this.config.isAllowedMethod 這個方法是判斷傳入進來的方法是否在配置文件中有。

技術分享圖片

this.allowedMethods.isAllowed(method) 這個類的這個方法控制了action 方法的訪問權限

查看AllowedMethod 這個類,<Allowed-method> 標簽是怎麽被解析的
    public static AllowedMethods build(boolean strictMethodInvocation, Set<String> methods, String defaultRegex) {
        Set<AllowedMethods.AllowedMethod> allowedMethods = new HashSet();
        Iterator i$ = methods.iterator();

        while(true) {
            while(i$.hasNext()) {
                String method = (String)i$.next();
                boolean isPattern = false;
                StringBuilder methodPattern = new StringBuilder();
                int len = method.length();

                for(int x = 0; x < len; ++x) {
                    char c = method.charAt(x);
                    if (x < len - 2 && c == ‘{‘ && ‘}‘ == method.charAt(x + 2)) {
                        methodPattern.append(defaultRegex);
                        isPattern = true;
                        x += 2;
                    } else {
                        methodPattern.append(c);
                    }
                }

                if (isPattern && !method.startsWith("regex:") && !strictMethodInvocation) {
                    allowedMethods.add(new AllowedMethods.PatternAllowedMethod(methodPattern.toString(), method));
                } else {
                    String pattern;
                    if (method.startsWith("regex:")) {
                        pattern = method.substring(method.indexOf(":") + 1);
                        allowedMethods.add(new AllowedMethods.PatternAllowedMethod(pattern, method));
                    } else if (method.contains("*") && !method.startsWith("regex:") && !strictMethodInvocation) {
                        pattern = method.replace("*", defaultRegex);
                        allowedMethods.add(new AllowedMethods.PatternAllowedMethod(pattern, method));
                    } else if (!isPattern) {
                        allowedMethods.add(new AllowedMethods.LiteralAllowedMethod(method));
                    } else {
                        LOG.trace("Ignoring method name: [{}] when SMI is set to [{}]", method, strictMethodInvocation);
                    }
                }
            }

            LOG.debug("Defined allowed methods: {}", allowedMethods);
            return new AllowedMethods(strictMethodInvocation, allowedMethods, defaultRegex);
        }
    }

大致的意思就是, 將<allowed-method> 標簽的內容放入allowedMethods 這個set 集合中,以便調用action 的方法時候決定這個action的方法是否可以被調用。

這裏的放入規則遵循標紅的判斷,帶有regex: 前綴的,帶有* 的將被單獨處理,就是將所有的方法都通過。

技術分享圖片

技術分享圖片

看上面的debug 圖,發現struts2 默認帶了一些有權限的方法 index input 等。

最後還有 <global-allowed-methods>regex:.*</global-allowed-methods> 標簽也可以解決問題。



 
struts2 <allowed-methods >  標簽配置
   
 
 
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
struts2 &lt;allowed-methods &gt;  配置

     
 inter   .html   n)   internal   start   什麽   文件的   錯誤   ftw   1.在struts2   2.5版本中添加了對方法訪問的權限,如果沒有被添加到<allow-method> 方法的標簽,將會報一下錯誤

5:05:18.078 [http- 



  
 

    


    
    
struts2中&lt;s:if&gt;的使用

     
 單個字符   單獨   test   判斷字符串   判斷為空   但是   int   判斷   type   一、<s:if>判斷字符串的問題:
1、判斷單個字符:<s:if test="#session.user.TYPE==‘A‘ ">這樣是從session 



  
 

    


    
    
&lt;sub&gt; 、&lt;sup&gt;

     
 p s   下標   body   ont   mil   track   tracking   決定   trac   

今天無意中看到一個標簽認為挺有意思的。平時用得好少。<sup><sub>上標簽和下標簽。感覺這個命名就是以b p 來決定是上還是下。b是下。p是上
哈哈,是不是 



  
 

    


    
    
&lt;s:textfield&gt;回顯

     
 field   方式   val   stack   value   model   是的   obj   del   1.回顯棧中屬性值時(ObjectStack) 只要給屬性提供get方法即可,繼承ModelDriven Action的屬性時會被沖掉的(只會被賦值給model,不會賦值給Action)
& 



  
 

    


    
    
shiro中的&lt;shiro:principal /&gt;的使用

     
 學習   配置   一個   bject   jsp標簽   auth   prop   article   結果   最近在看開濤老師講的關於shiro的教程,看到JSP標簽的時候,關於<shiro:principal property="username" />這種寫法,是要把一個帶有user 



  
 

    


    
    
&lt;c:redirect&gt; 

     
 class   標簽   index.jsp   新的   text   ont   doctype   page   重寫   <c:redirect>標簽通過自動重寫URL來將瀏覽器重定向至一個新的URL,它提供內容相關的URL

<c:set var="contextPath" val 



  
 

    


    
    
&lt;c:out&gt;不能正確輸出value中的值

     
 let   request   例如   jsp   blank   ...   page   get   el表達式   問題:
我打算在jsp中輸出request中的值,它的key為username,
<c:out value=”${requestScope.username}”/>
但是輸出 



  
 

    


    
    
從 &lt;sofa:XXX&gt; 開始看 SOFA-Boot 如何融入 Spring

     
 均衡   init   抽象類   uniq   registry   但是   imageview   工具   註解   
前言
SOFA-Boot 現階段支持 XML 的方式在 Spring 中定義 Bean,通過這些標簽,我們就能從 Spring 容器中取出 RPC 中的引用,並進行調用,那麽他是如何 



  
 

    


    
    
Jsp中在&lt;c:forEach&gt;內獲取集合的長度

     
 .com   var   glib   vars   用戶   ole   sof   16px   直接   這次給大家分享一個小知識點——利用JSTL標簽庫中的functions標簽來獲取集合長度。
 
一、首先在jsp頁面導入JSTL的core標簽和functions標簽
 



  
 

    


    
    
Spring配置文件&lt;context:property-placeholder&gt;使用漫談

     
 system   異常   efault   spring容器   其他   查找   ati   位置   tag   <context:property-placeholder>標簽提供了一種優雅的外在化參數配置的方式,不過該標簽在Spring配置文件中只能存在一份!!!
眾所周知,Sprin 



  
 

    


    
    
Spring中&lt;bean&gt;之使用p配置bean的屬性

     
 nec   connect   brush   -name   spring   tro   ack   edi   類型   在spring的bean配置文件中我們常可以見到下面的例子:

 <bean id="user" class="com.sys.User"  p:name-ref="nam 



  
 

    


    
    
FreeMarker &lt;#if&gt; 大於號

     
 freemark   mar   eem   大於號   spa   gte   lte   pre   大於   兩種方法 1 用符號代替: > gt , >=  gte  ,< lt  , <= lte2 加括號 <#if(x>y)>FreeMarker < 



  
 

    


    
    
&lt;script&gt;在html中書寫位置區別

     
 鼠標   標識   初始化   pan   初始   filter   script   出錯   ava   1. 將JavaScript標識放置<Head>... </Head>在頭部之間,使之在主頁和其余部分代碼之前預先裝載,從而可使代碼的功能更強大; 比如對*.js文件的提前調 



  
 

    


    
    
&lt;pre&gt; &lt;textarea&gt; &lt;code&gt;區別

     
 效果   包含   條件判斷   sch   區別   源程序   textarea   images   log   這篇文章裏面放的大都是我自己寫程序的時候遇到的一些小問題,其實都是自己沒有掌握的點,別人看起來應該很簡單啦,但寫下來能提醒自己,也能鼓勵一下自己,這條路也不好走哇。
<pre>  



  
 

    


    
    
利用React遍歷數組,並且用數組的元素生成&lt;li&gt;arrItem&lt;/li&gt;

     
 fun   cti   rri   get   並且   reac   numbers   arr   func   var numbers = [1,2,3,4,5,6,7,8,9];
ReactDom.render({
  <ul>
    {
      numbers.map(functi 



  
 

    


    
    
HTML &lt;table&gt; 

     
 顏色   back   jpg   邊框   文字   ble   單元   html   ota   p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Hannotate SC" }
p.p2 { margin: 0.0px 0.0px 0.0px  



  
 

    


    
    
HTML &lt;br&gt; 

     
 開始   div   asp   note   left   可選   輸入   使用   繼續   定義和用法
<br> 可插入一個簡單的換行符。
<br> 標簽是空標簽(意味著它沒有結束標簽,因此這是錯誤的:<br></br>)。在 XHTML 中,把結束標 



  
 

    


    
    
HTML &lt;!DOCTYPE&gt; 

     
 必須   差異   htm   之間   類型   not   大小   三種   文檔類型   實例
<!DOCTYPE html>
<html>
<head>
<title>文檔的標題</title>
</head>

<bod 



  
 

    


    
    
HTML &lt;html&gt; 

     
 屬性   主體   bsp   沒有   了解   文檔   ref   也不會   lns   實例
<html>

<head>
  這裏是文檔的頭部 ... ...
  ...
</head>

<body>
  這裏是文檔的主體 ... ...
  .. 



  
 

    


    
    
HTML &lt;!--...--&gt; 

     
 function   用法   html 註釋   func   定義   spl   插入   瀏覽器   isp   實例
HTML 註釋:
<!--這是一段註釋。註釋不會在瀏覽器中顯示。-->

<p>這是一段普通的段落。</p>
定義和用法
註釋標簽用於在源代碼中插