Struts2升级到2.5.30,问题解决及过程记录

已于 2022-05-05 15:46:53 修改
阅读量4.6k 收藏 14
点赞数 2
分类专栏: JAVA struts2 文章标签: java struts2
于 2022-05-05 15:07:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_36743893/article/details/124582101
版权
本文档详细记录了将Struts2从旧版本升级到2.5.30的过程中遇到的问题及解决方案,包括JDK版本要求、Jar包升级、过滤器迁移、struts.xml配置修改、国际化处理、注解变更、ActionContext调整、标签更新以及自定义标签的FTL文件问题。通过逐步排查和适配,成功完成升级并确保项目正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Struts2升级到2.5.30

文章目录

前言

由于Struts2被爆出了远程执行漏洞需要升级版本到2.5.30解决

一、Struts2远程漏洞描述

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

二、本机环境描述

JDK版本:1.8
Spring版本:5.3.10
手动版本管理(未使用Maven版本管理,所以lib包升级比较复杂)

三、问题描述及解决办法

1.JDK版本需要1.7及以上

2.提升Jar包版本(不仅限于截图,根据使用选择性增删)

在这里插入图片描述
不仅限于截图,根据使用选择性增删lib包,并且建议先升级截图最下面五个包及freemarker.jar,javassist.jar,删除xwork-core的包(2.5版本struts2已经引入了此包),然后再根据使用情况和项目启动情况增加引入其他包。
在文末jar包资源已经打包上传到资源库了,如果没有积分也可以去maven仓库自己对应先下载

3.StrutsFilter及StrutsPrepareAndExecuteFilter包路径迁移问题

定义在web.xml中的部分使用ng.filter包下的过滤器需要迁移
<filter>
	<filter-name>struts2</filter-name>
	<!--原路径为org.apache.struts2.dispatcher.ng.filter.StrutsFilter-->
	<filter-class>org.apache.struts2.dispatcher.filter.StrutsFilter</filter-class>
</filter>
<filter>
	<filter-name>StrutsPrepareAndExecuteFilter</filter-name>
	<!--原路径为org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter-->
	<filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>

另外,在我升级中发现我们框架包重写了StrutsFilter和StrutsPrepareAndExecuteFilter,并且框架包引用了ng.filter包下的部分类,由于框架包不维护了,不能重新编译框架包。导致启动报错。
我的解决办法是,在项目中新建相同包路径,将StrutsFilter复制一份,并将java中使用ng下的包,修改为引入最新版本,这样项目在启动的时候本地的StrutsFilter由于路径相同会覆盖框架的包,就完成了替换。

4.struts.xml 文件修改

<!-- 1.truts2从2.5版本开始,为了提升安全性,默认开启了严格的方法调用。 如果要使用通配符*,必须在package中设置 strict-method-invocation="false"  -->
	<package name="default" extends="struts-global" strict-method-invocation="false">
		<!-- 2.针对使用通配符,也可以主动开启动态方法调用,加上全局方法允许访问,如果1不适用,选择本方式试一试 -->
		<global-allowed-methods>regex:.*</global-allowed-methods>
	</package>

修改所有struts配置文件的头部版本,修改至2.5

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
    "http://struts.apache.org/dtds/struts-2.5.dtd">

5.本地项目的国际化(根据项目是否需要选择升级)

由于我们自己做了本地的国际化,低版本使用的国际化是在StrutsFilter中初始化

LocalizedTextUtil.clearDefaultResourceBundles();
LocalizedTextUtil.addDefaultResourceBundle(MyResource.class.getName());

但是在高版本的struts中取消了LocalizedTextUtil,这里找到了替换的方法

// 在struts2.xml中引入:
<bean type="com.opensymphony.xwork2.LocalizedTextProvider"
		  name="myProvider"
		  class="com.xxx.xxx.web.text.MyLocalizedTextProvider"
		  scope="singleton" />
	<constant name="struts.localizedTextProvider" value="myProvider" />
// 新建MyLocalizedTextProvider类:
public class MyLocalizedTextProvider extends StrutsLocalizedTextProvider {
    public MyLocalizedTextProvider() {
        super();
        this.addDefaultResourceBundle(MyResource.class.getName());
    }
}

6. convention.annotation.Result.name()(Found data of type calss java.lang.String[index])

升级后的@Result注解,name属性由String变更为String[],且在项目中,使用地方特别多,所以需要一次项目的重新编译。

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
public @interface Result {
    // 此处由String name 改为String[] name所以需要重新编译所有使用@Result注解的类
    String[] name() default {"success"};
    String location() default "";
    String type() default "";
    String[] params() default {};
}

7.com.opensymphony.xwork2.ActionContext;

ActionContext中的getParameters()返回参数由Map修改为HttpParameters (根据项目实际情况选择性修改,我的项目没有遇到此问题)

// 新版本返回参数是HttpParameters
  public HttpParameters getParameters() {
        return (HttpParameters)this.get("com.opensymphony.xwork2.ActionContext.parameters");
  }

8. < constant name=“struts.locale” value=“zh_CN” />

项目原来配置在struts.xml中的 <constant name=“struts.locale” value=“zh-CN” />属性是zh-CN(连接号不是下划线),另外commons-lang3-3.8.1.jar中加载国际化时的方法已经修改,导致加载属性就报错,解决办法是value=“zh_CN” 修改为下划线。

9.struts标签问题修改

// 原版本
<s:url id="url" action="login">
<s:set id="str1" value="'string1 value'" />
<s:bean id="bean" name="beanName">
<s:iterator value="tradeList" id="trade" status="status"> 
<s:set name="myCode" value=" *** "/>
<s:property escape="true" var="someProperty"/>
//新版本
<s:url var="url" action="login">
<s:bean var="bean" name="beanName">
<s:iterator  var="trade" value="tradeList" status="status">
<s:set var="myCode" value=" *** "/>
<s:property escapeHtml="true" var="someProperty"/>

看看页面操作这几个标签的方法是否用到属性取值,对应取值方式是否需要修改

10.自定义标签的*.ftl文件找不到

原因:高版本的struts2移除了部分.ftl,例如我使用的div.ftl,div-close.ftl。
解决办法:在下载低版本的struts2的包,用war解压jar包,找到需要的ftl文件,将文件手动拷贝到项目的WebContent\template\jquery目录下(具体目录看控制台提示,提示那个文件夹缺失就手动新建放到新建文件夹)

总结

  • 先升级Struts2必要的几个核心包,然后根据升级后的版本和项目其他组件使用情况,升级和增删其他的包,逐步解决问题。
  • 根据自己项目实际的启动反馈,进行问题的解决,大部分问题都是可以百度到,其中自己项目特殊化需求可以用重写覆盖等发放解决。
  • 最后部署到测试环境测一测功能

参考及资源下载

参考博客:
这两篇博客也包含一些我升级没有遇到的问题及解决办法
https://blog.youkuaiyun.com/moxiaofan123/article/details/115510962
https://blog.youkuaiyun.com/weixin_41271981/article/details/111642705
资源下载:
https://download.youkuaiyun.com/download/sinat_36743893/85291095

struts2漏洞升级2.5.30额外补充
04-21 1363
struts2漏洞 2.5.30 s:token struts.token
struts2.3升级2.5.26.docx
07-01
在进行Struts2框架版本从2.3升级2.5.26的过程中,主要涉及以下几个方面的调整:依赖库(JAR文件)的更新、`web.xml`文件的配置修改以及`struts.xml`文件的结构调整等。这些更改旨在确保应用能够兼容新版本的功能,...
log4j2.xml文件如何编写
chenyidong521的博客
03-27 866
配置全解
Struts框架的最新版本特性详解与应用
最新发布
weixin_42551310的博客
05-04 751
自定义拦截器需要实现Interceptor接口,重写其intercept方法。下面是一个简单的自定义拦截器的示例:// 请求处理前的逻辑// 请求处理后的逻辑自定义拦截器通常用于以下场景:权限控制:在用户访问受保护的资源前进行权限验证。日志记录记录用户的请求信息和操作记录。性能监控:收集请求的性能数据。Struts插件架构的设计理念在于提供一个可扩展和可定制的框架来增强核心功能。
Struts2升级版本到2.5.30遇到的一些问题解决方式
于采柳的博客
04-21 5014
一、背景 由于Struts2被爆出了远程执行漏洞需要升级版本到2.5.30解决 目前程序使用的struts2-core版本是2.3.32,spring版本是2.5.6,commons-lang3版本是3.1,jdk版本1.6 maven项目管理 二、解决方案 升级Struts2-core包版本,升级jdk版本,升级spring版本 升级Struts2-core包版本,升级jdk版本 三、解决过程 首先在pom文件中升级Struts2-core包的版本至2.5.30进行个简单的编译看有什么变化,结果
log4j2使用
ptsx0607的专栏
09-17 323
. 下载jar包: http://logging.apache.org/log4j/2.x/download.html 我的版本: 导入项目。 二. 配置文件: 在src目录下创建log4j2.xml <?xml version="1.0" encoding="UTF-8"?> <!--日志级别以及优先级排序: OFF > FATAL > ERRO...
struts升级2.5.30详细步骤
qq_2643637341的博客
06-01 5875
1、struts2升级所涉及的jar包如下图,其中前五个jar包均为适配struts2-2.5.30版本所需。如果没有对应jar包则直接导入,如已经存在则需要将旧版本剔除后再导入,同时需要剔除原有的xwork-core-2.3.8.jar包。2、在web.xml中将原有的filter变更为如下路径: 3、修改所有struts.xml相关配置文件中的版本头信息,统一将版本改为2.5:4、如果action配置文件中存在使用通配符的情况,如xxx_*,因为struts2-2.5.30版本对安全性有所提升,限制
Strtus2.3升级2.5(包含log4j升级log4j2)所需jar,和相关资料
04-28
Struts2.3到Struts2.5升级是一个重要的步骤,因为每个新版本通常包含了安全更新、性能改进以及新功能。在升级过程中,尤其要注意与依赖库的兼容性,例如Log4j的升级。 Log4j是Apache的一个开源项目,提供日志...
struts2.5.30最简包
04-27
Struts2.5.30是最简包,是Apache Struts框架的一个版本,该框架是基于Model-View-Controller(MVC)设计模式的Java Web应用程序开发框架。Struts2作为一个强大的后端开发工具,被广泛应用于企业级应用中,为开发者...
struts2升级2.5的配置
aeoaod9396的博客
07-22 596
之前的struts版本太低,后来用想过换个后台,但是改动太大,还是升级到最新版本的struts吧,虽然有点蛋疼的经历,最终还是解决了。下面来分享一下我的经历!!! 1.下载struts2 2.5.12版本的jar包 2.首先是替换核心jar包了,下面是我所选jar包,如果原来项目是log4j.jar要保留,把log4j-api-2.8.2.jar也是要拷贝进去(我原本删除项...
Apache Struts2(S2-045)漏洞升级指南
03-07
Apache Struts2(S2-045)漏洞升级指南,用于指导Apache Struts2(S2-045)漏洞的本地升级工作
Struts2版本2.3.*升级2.5.10.1用到的log4j的包(含log4j-1.2-api-2.7)
07-24
struts2.5.10.1 使用的是log4j2 所以需要导入log4j-api-2.7log4j-core-2.7 这两个jar包 并且为了从log4j 平稳的过度到log4j2导入log4j-1.2-api-2.7 jar(避免修改代码)
struts-2.3.30-all所有jar包
08-04
antlr-2.7.2.jar, aopalliance-1.0.jar, asm-3.3.jar, asm-commons-3.3.jar, asm-tree-3.3.jar, builder-0.6.2.jar, classworlds-1.1.jar, commons-beanutils-1.8.0.jar, commons-chain-1.2.jar, commons-collections-3.2.2.jar, commons-digester-2.0.jar, commons-fileupload-1.3.2.jar, commons-io-2.2.jar, commons-lang-2.4.jar, commons-lang3-3.2.jar, commons-logging-1.1.3.jar, commons-validator-1.3.1.jar, core-0.6.2.jar, dwr-1.1.1.jar, ezmorph-1.0.6.jar, freemarker-2.3.22.jar, google-collections-1.0.jar, google-gxp-0.2.4-beta.jar, guava-r09.jar, jackson-core-asl-1.9.2.jar, jackson-mapper-asl-1.9.2.jar, javassist-3.11.0.GA.jar, jcl-over-slf4j-1.5.8.jar, json-lib-2.3-jdk15.jar, juli-6.0.18.jar, mvel2-2.0.11.jar, ognl-3.0.19.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi.core-4.1.0.jar, oro-2.0.8.jar, oval-1.31.jar, plexus-container-default-1.0-alpha-10.jar, plexus-utils-1.2.jar, sitemesh-2.4.2.jar, slf4j-api-1.7.12.jar, spring-aop-3.0.5.RELEASE.jar, spring-asm-3.0.5.RELEASE.jar, spring-beans-3.0.5.RELEASE.jar, spring-context-3.0.5.RELEASE.jar, spring-core-3.0.5.RELEASE.jar, spring-expression-3.0.5.RELEASE.jar, spring-test-3.0.5.RELEASE.jar, spring-web-3.0.5.RELEASE.jar, struts-core-1.3.10.jar, struts2-cdi-plugin-2.3.30.jar, struts2-codebehind-plugin-2.3.30.jar, struts2-config-browser-plugin-2.3.30.jar, struts2-convention-plugin-2.3.30.jar, struts2-core-2.3.30.jar, struts2-dojo-plugin-2.3.30.jar, struts2-dwr-plugin-2.3.30.jar, struts2-embeddedjsp-plugin-2.3.30.jar, struts2-gxp-plugin-2.3.30.jar, struts2-jasperreports-plugin-2.3.30.jar, struts2-javatemplates-plugin-2.3.30.jar, struts2-jfreechart-plugin-2.3.30.jar, struts2-jsf-plugin-2.3.30.jar, struts2-json-plugin-2.3.30.jar, struts2-junit-plugin-2.3.30.jar, struts2-osgi-admin-bundle-2.3.30.jar, struts2-osgi-demo-bundle-2.3.30.jar, struts2-osgi-plugin-2.3.30.jar, struts2-oval-plugin-2.3.30.jar, strut
struts2配置2.5
08-15
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd"> <struts> <constant name="struts.devMode" value="true" /> <package name="default" namespace="/" extends="struts-default"> <action name="helloworld" class="com.mytest.HelloWorldAction"> <result> /result.jsp </result> </action> </package> <package name="LoginForm" extends="struts-default"> <action name="login" class="com.mytest.LoginAction" method="execute"> <result> /login.jsp </result> </action> </package> </struts> <!--1.使用 struts2.5.16 版本 2.lib 文件夹下放置:工程所需jar包 3.xml标签库为远程获取,路径:http://struts.apache.org/dtds/struts-2.5.dtd 可设置为本地【xml输入语法快捷提示】,就不用远程获取了:window-->preference-->输入Catalog-->xml下的Catalog-->Add-->location:解压缩struts-core-2.5.16.jar 后,文件struts-2.5.dtd文件路径。 4.设置开发者模式: <constant name="struts.devMode" value="true" /> <constant name="struts.i18n.encoding" value="utf-8" /> 每次HTTP请求系统都重新加载资源文件,有助于开发 5.struts配置文件改动后,是否重新加载 <constant name="struts.configuration.xml.reload" value="true" /> 6.查看源码:Build path 后的类库中,奶瓶图标找到struts-core-2.5.16.jar 右键-->properties-->java Source Attachment-->External location :源码路径 7.查看文档API:Build path 后的类库中,奶瓶图标找到struts-core-2.5.16.jar 右键-->properties-->javadoc location :输入网址 或选择源码DOC目录 8.拦截器:web.xml 配置拦截器<filter> struts2.5的filter-class 与struts2.5以前版本有所不同 <!-- 浏览器访问 http://localhost:8080/MyWeb/helloworld --> --> <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0"> <display-name>Struts 2</display-name> <welcome-file-list> <welcome-file>index.jsp</welcome-file> </welcome-file-list> <!-- 配置核心拦截器 --> <filter> <filter-name>struts2</filter-name> <!-- Filter的实现类 struts2.5 --> <filter-class> org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter </filter-class> </filter> <filter-mapping> <!-- 拦截所有的url --> <filter-name>struts2</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
struts22.3.15.1升级2.3.35
10-11
struts22.3.15.1升级2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包,以及升级过程中值得注意的事项
struts2 框架升级2.3.*,升级2.5.30
ld851的博客
04-19 5117
问题描述: struts2 升级2.3.*,升级2.5.30 ,替换了structs相关jar,如果出现如下报错: `ispatcher initialization failed Unable to load configuration. - bean - jar:file:/home/ds/556/dataservices/webapps/manager/WEB-INF/lib/struts2-core-2.5.30.jar!/struts-default.xml:152:154 at com
Struts2升级2.5.30的那些坑
热门推荐
weixin_44254243的博客
04-18 1万+
1.版本修改 将pom.xml 文件修改为2.5.30版本 <properties> <struts2-version>2.5.30</struts2-version> </properties> <dependencies> <dependency> <groupId>org.apache.struts</groupId> <artifactId>s
struts1.2升级struts2.5.30问题汇总
qq3892997的博客
02-22 2261
struts1.2升级struts2.5.30问题汇总
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值