modeldriven是什么 如何檢驗struts2遠程調用漏洞
請問Java編程中,Struts2 和 Struts1 比較,有什么優(yōu)勢和區(qū)別呢?struts2給我們提供了什么?學習struts2到底學習他的什么東西??struts2的modeldriven有什么作用?struts2 中action是什么決定的?struts2 modeldriven攔截器配置中refreshmodelbeforeresult解決什么問題?
本文導航
簡單介紹struts2框架執(zhí)行流程
Apache Struts 2即是之前大家所熟知的WebWork 2。在經(jīng)歷了幾年的各自發(fā)展后,WebWork和Struts社區(qū)決定合二為一,也即是Struts 2
Action 類:
Struts1要求Action類繼承一個抽象基類。Struts1的一個普遍問題是使用抽象類編程而不是接口。
Struts 2 Action類可以實現(xiàn)一個Action接口,也可實現(xiàn)其他接口,使可選和定制的服務成為可能。Struts2提供一個ActionSupport基類去實現(xiàn) 常用的接口。Action接口不是必須的,任何有execute標識的POJO對象都可以用作Struts2的Action對象。
線程模式:
Struts1 Action是單例模式并且必須是線程安全的,因為僅有Action的一個實例來處理所有的請求。單例策略限制了Struts1 Action能作的事,并且要在開發(fā)時特別小心。Action資源必須是線程安全的或同步的。
Struts2 Action對象為每一個請求產(chǎn)生一個實例,因此沒有線程安全問題。(實際上,servlet容器給每個請求產(chǎn)生許多可丟棄的對象,并且不會導致性能和垃圾回收問題)
Servlet 依賴:
Struts1 Action 依賴于Servlet API ,因為當一個Action被調用時HttpServletRequest 和 HttpServletResponse 被傳遞給execute方法。
Struts 2 Action不依賴于容器,允許Action脫離容器單獨被測試。如果需要,Struts2 Action仍然可以訪問初始的request和response。但是,其他的元素減少或者消除了直接訪問HttpServetRequest 和 HttpServletResponse的必要性。
可測性:
測試Struts1 Action的一個主要問題是execute方法暴露了servlet API(這使得測試要依賴于容器)。一個第三方擴展--Struts TestCase--提供了一套Struts1的模擬對象(來進行測試)。
Struts 2 Action可以通過初始化、設置屬性、調用方法來測試,“依賴注入”支持也使測試更容易。
捕獲輸入:
Struts1 使用ActionForm對象捕獲輸入。所有的ActionForm必須繼承一個基類。因為其他JavaBean不能用作ActionForm,開發(fā)者經(jīng)常創(chuàng)建多余的類捕獲輸入。動態(tài)Bean(DynaBeans)可以作為創(chuàng)建傳統(tǒng)ActionForm的選擇,但是,開發(fā)者可能是在重新描述(創(chuàng)建)已經(jīng)存在的JavaBean(仍然會導致有冗余的javabean)。
Struts 2直接使用Action屬性作為輸入屬性,消除了對第二個輸入對象的需求。輸入屬性可能是有自己(子)屬性的rich對象類型。Action屬性能夠通過web頁面上的taglibs訪問。Struts2也支持ActionForm模式。rich對象類型,包括業(yè)務對象,能夠用作輸入/輸出對象。這種ModelDriven 特性簡化了taglib對POJO輸入對象的引用。
表達式語言:
Struts1 整合了JSTL,因此使用JSTL EL。這種EL有基本對象圖遍歷,但是對集合和索引屬性的支持很弱。
Struts2可以使用JSTL,但是也支持一個更強大和靈活的表達式語言--"Object Graph Notation Language" (OGNL).
綁定值到頁面(view):
Struts 1使用標準JSP機制把對象綁定到頁面中來訪問。
Struts 2 使用 "ValueStack"技術,使taglib能夠訪問值而不需要把你的頁面(view)和對象綁定起來。ValueStack策略允許通過一系列名稱相同但類型不同的屬性重用頁面(view)。
類型轉換:
Struts 1 ActionForm 屬性通常都是String類型。Struts1使用Commons-Beanutils進行類型轉換。每個類一個轉換器,對每一個實例來說是不可配置的。
Struts2 使用OGNL進行類型轉換。提供基本和常用對象的轉換器。
校驗:
Struts 1支持在ActionForm的validate方法中手動校驗,或者通過Commons Validator的擴展來校驗。同一個類可以有不同的校驗內(nèi)容,但不能校驗子對象。
Struts2支持通過validate方法和XWork校驗框架來進行校驗。XWork校驗框架使用為屬性類類型定義的校驗和內(nèi)容校驗,來支持chain校驗子屬性
Action執(zhí)行的控制:
Struts1支持每一個模塊有單獨的Request Processors(生命周期),但是模塊中的所有Action必須共享相同的生命周期。
Struts2支持通過攔截器堆棧(Interceptor Stacks)為每一個Action創(chuàng)建不同的生命周期。堆棧能夠根據(jù)需要和不同的Action一起使用。
Struts作為MVC 2的Web框架,自推出以來不斷受到開發(fā)者的追捧,得到用廣泛的應用。作為最成功的Web框架,Struts自然擁有眾多的優(yōu)點:
struts2自學入門
雖然Struts2號稱是一個全新的框架,但這僅僅是相對Struts 1而言。Struts 2 與Struts 1相比,確實有很多革命性的改進,但它并不是新發(fā)布的新框架,而是在另一個赫赫有名的框架:WebWork基礎上發(fā)展起來的。從某種程度上來講,Struts2沒有繼承Struts 1的血統(tǒng),而是繼承WebWork的血統(tǒng)。或者說,WebWork衍生出了Struts2,而不是Struts 1衍生了Struts2。因為Struts2是WebWork的升級,而不是一個全新的框架,因此穩(wěn)定性、性能等各方面都有很好的保證:而且吸收了Struts 1和WebWork兩者的優(yōu)勢,因此,是一個非常值得期待的框架?! pache Struts2是一個優(yōu)雅的,可擴展的JAVA EE web框架??蚣茉O計的目標貫穿整個開發(fā)周期,從開發(fā)到發(fā)布,包括維護的整個過程?! pache Struts 2即是之前大家所熟知的WebWork 2。在經(jīng)歷了幾年的各自發(fā)展后,WebWork和Struts社區(qū)決定合二為一,也即是Struts 2 Struts 2 英文學習網(wǎng)站: http://struts.apache.org/2.0.6/docs/guides.htmlStruts2和Struts1的不同 Action 類: ◆Struts1要求Action類繼承一個抽象基類。Struts1的一個普遍問題是使用抽象類編程而不是接口?! 鬝truts 2 Action類可以實現(xiàn)一個Action接口,也可實現(xiàn)其他接口,使可選和定制的服務成為可能。Struts2提供一個ActionSupport基類去實現(xiàn) 常用的接口。Action接口不是必須的,任何有execute標識的POJO對象都可以用作Struts2的Action對象。 線程模式:
◆Struts1 Action是單例模式并且必須是線程安全的,因為僅有Action的一個實例來處理所有的請求。單例策略限制了Struts1 Action能做的事,并且要在開發(fā)時特別小心。Action資源必須是線程安全的或同步的?! 鬝truts2 Action對象為每一個請求產(chǎn)生一個實例,因此沒有線程安全問題。(實際上,servlet容器給每個請求產(chǎn)生許多可丟棄的對象,并且不會導致性能和垃圾回收問題) Servlet 依賴:
◆Struts1 Action 依賴于Servlet API ,因為當一個Action被調用時HttpServletRequest 和 HttpServletResponse 被傳遞給execute方法?! 鬝truts 2 Action不依賴于容器,允許Action脫離容器單獨被測試。如果需要,Struts2 Action仍然可以訪問初始的request和response。但是,其他的元素減少或者消除了直接訪問HttpServetRequest 和 HttpServletResponse的必要性。 可測性: ◆測試Struts1 Action的一個主要問題是execute方法暴露了servlet API(這使得測試要依賴于容器)。一個第三方擴展--Struts TestCase--提供了一套Struts1的模擬對象(來進行測試)。 ◆Struts 2 Action可以通過初始化、設置屬性、調用方法來測試,“依賴注入”支持也使測試更容易。 捕獲輸入: ◆Struts1 使用ActionForm對象捕獲輸入。所有的ActionForm必須繼承一個基類。因為其他JavaBean不能用作ActionForm,開發(fā)者經(jīng)常創(chuàng)建多余的類捕獲輸入。動態(tài)Bean(DynaBeans)可以作為創(chuàng)建傳統(tǒng)ActionForm的選擇,但是,開發(fā)者可能是在重新描述(創(chuàng)建)已經(jīng)存在的JavaBean(仍然會導致有冗余的javabean)?! ?Struts 2直接使用Action屬性作為輸入屬性,消除了對第二個輸入對象的需求。輸入屬性可能是有自己(子)屬性的rich對象類型。Action屬性能夠通過web頁面上的taglibs訪問。Struts2也支持ActionForm模式。rich對象類型,包括業(yè)務對象,能夠用作輸入/輸出對象。這種ModelDriven 特性簡化了taglib對POJO輸入對象的引用?! ”磉_式語言: ◆Struts1 整合了JSTL,因此使用JSTL EL。這種EL有基本對象圖遍歷,但是對集合和索引屬性的支持很弱?! 鬝truts2可以使用JSTL,但是也支持一個更強大和靈活的表達式語言--"Object Graph Notation Language" (OGNL). 綁定值到頁面(view): ◆ Struts 1使用標準JSP機制把對象綁定到頁面中來訪問。 ◆Struts 2 使用 "ValueStack"技術,使taglib能夠訪問值而不需要把你的頁面(view)和對象綁定起來。ValueStack策略允許通過一系列名稱相同但類型不同的屬性重用頁面(view)?! ☆愋娃D換: ◆Struts 1 ActionForm 屬性通常都是String類型。Struts1使用Commons-Beanutils進行類型轉換。每個類一個轉換器,對每一個實例來說是不可配置的?! 鬝truts2 使用OGNL進行類型轉換。提供基本和常用對象的轉換器?! ⌒r灒骸 鬝truts 1支持在ActionForm的validate方法中手動校驗,或者通過Commons Validator的擴展來校驗。同一個類可以有不同的校驗內(nèi)容,但不能校驗子對象?! 鬝truts2支持通過validate方法和XWork校驗框架來進行校驗。XWork校驗框架使用為屬性類類型定義的校驗和內(nèi)容校驗,來支持chain校驗子屬性 Action執(zhí)行的控制: ◆Struts1支持每一個模塊有單獨的Request Processors(生命周期),但是模塊中的所有Action必須共享相同的生命周期。 ◆Struts2支持通過攔截器堆棧(Interceptor Stacks)為每一個Action創(chuàng)建不同的生命周期。堆棧能夠根據(jù)需要和不同的Action一起使用。
struts2完整配置
您好,實現(xiàn)了ModelDriven就必須實現(xiàn)getModel這個方法,該方法返回的是你的ModelDrivern泛型中設定的實體類。其實是為了實現(xiàn)代碼的重用,不要再定義一次你在數(shù)據(jù)訪問層定義的屬性了,直接用那個類就行了。不過有時候也不是很需要這個東西,比如只有一兩個表單域的時候。
struts2請求步驟
struts2 中action是通過struts.xml配置文件來實現(xiàn)的。
Struts2中Action接收參數(shù)的方法主要有以下三種:
1.使用Action的屬性接收參數(shù):
a.定義:在Action類中定義屬性,創(chuàng)建get和set方法;
b.接收:通過屬性接收參數(shù),如:userName;
c.發(fā)送:使用屬性名傳遞參數(shù),如:user1!add?userName=Magci;
2.使用DomainModel接收參數(shù):
a.定義:定義Model類,在Action中定義Model類的對象(不需要new),創(chuàng)建該對象的get和set方法;
b.接收:通過對象的屬性接收參數(shù),如:user.getUserName();
c.發(fā)送:使用對象的屬性傳遞參數(shù),如:user2!add?user.userName=MGC;
3.使用ModelDriven接收參數(shù):
a.定義:Action實現(xiàn)ModelDriven泛型接口,定義Model類的對象(必須new),通過getModel方法返回該對象;
b.接收:通過對象的屬性接收參數(shù),如:user.getUserName();
c.發(fā)送:直接使用屬性名傳遞參數(shù),如:user2!add?userName=MGC
如何檢驗struts2遠程調用漏洞
所謂ModelDriven,意思是直接把實體類當成頁面數(shù)據(jù)的收集對象。比如,有實體類User如下:
package cn.com.leadfar.struts2.actions;
public class User {
private int id;
private String username;
private String password;
private int age;
private String address;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
public int getAge() {
return age;
}
public void setAge(int age) {
this.age = age;
}
public String getAddress() {
return address;
}
public void setAddress(String address) {
this.address = address;
}
public int getId() {
return id;
}
public void setId(int id) {
this.id = id;
}
}
假如要寫一個Action,用來添加User。
第一種做法是直接在Action中定義所有需要的屬性,然后在JSP中直接用屬性名稱來提交數(shù)據(jù):
UserAction:
public class UserAction {
private int id;
private String username;
private String password;
private int age;
private String address;
public String add(){
User user = new User();
user.setId(id);
user.setUsername(username);
user.setPassword(password);
user.setAge(age);
user.setAddress(address);
new UserManager().addUser(user);
return "success";
}
public int getId() {
return id;
}
public void setId(int id) {
this.id = id;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
public int getAge() {
return age;
}
public void setAge(int age) {
this.age = age;
}
public String getAddress() {
return address;
}
public void setAddress(String address) {
this.address = address;
}
}
add_input.jsp:
<form action="test/user.action" method="post">
<input type="hidden" name="method:add">
username:<input type="text" name="username"> <br/>
password:<input type="text" name="password"> <br/>
age:<input type="text" name="age"> <br/>
address:<input type="text" name="address"> <br/>
<input type="submit" name="submit" value="添加用戶">
</form> <br/>
上述做法不好之處是:如果實體類的屬性非常多,那么Action中也要定義相同的屬性。
第二種做法是將User對象定義到UserAction中,然后在JSP中通過user屬性來給user賦值:
UserAction:
public class UserAction {
private User user;
public String add(){
new UserManager().addUser(user);
return "success";
}
public User getUser() {
return user;
}
public void setUser(User user) {
this.user = user;
}
}
add_input.jsp:
<form action="test/user.action" method="post">
<input type="hidden" name="method:add">
username:<input type="text" name="user.username"> <br/>
password:<input type="text" name="user.password"> <br/>
age:<input type="text" name="user.age"> <br/>
address:<input type="text" name="user.address"> <br/>
<input type="submit" name="submit" value="添加用戶">
</form> <br/>
這種做法不好的地方是:JSP頁面上表單域中的命名變得太長
第三種做法是利用ModelDriven機制,讓UserAction實現(xiàn)一個ModelDriven接口,同時實現(xiàn)接口中的方法:getModel()。如下所示:
public class UserAction implements ModelDriven{
private User user;
@Override
public Object getModel() {
if(user == null){
user = new User();
}
return user;
}
public String add(){
new UserManager().addUser(user);
return "success";
}
public User getUser() {
return user;
}
public void setUser(User user) {
this.user = user;
}
}
JSP的代碼如下:
<form action="test/user.action" method="post">
<input type="hidden" name="method:add">
username:<input type="text" name="username"> <br/>
password:<input type="text" name="password"> <br/>
age:<input type="text" name="age"> <br/>
<input type="submit" name="submit" value="添加用戶">
</form> <br/>
可見,第三種做法是比較好的,Action和JSP寫起來都比較簡單。
2.ModelDriven背后的機制?
ModelDriven背后的機制就是ValueStack。界面通過:username/age/address這樣的名稱,就能夠被直接賦值給user對象,這證明user對象正是ValueStack中的一個root對象!
那么,為什么user對象會在ValueStack中呢?它是什么時候被壓入ValueStack的呢?答案是:ModelDrivenInterceptor(關于Interceptor的概念,請參考后續(xù)章節(jié)的說明)。ModelDrivenInterceptor是缺省的攔截器鏈的一部分,當一個請求經(jīng)過ModelDrivenInterceptor的時候,在這個攔截器中,會判斷當前要調用的Action對象是否實現(xiàn)了ModelDriven接口,如果實現(xiàn)了這個接口,則調用getModel()方法,并把返回值(本例是返回user對象)壓入ValueStack。
請看ModelDrivenInterceptor的代碼:
public class ModelDrivenInterceptor extends AbstractInterceptor {
protected boolean refreshModelBeforeResult = false;
public void setRefreshModelBeforeResult(boolean val) {
this.refreshModelBeforeResult = val;
}
@Override
public String intercept(ActionInvocation invocation) throws Exception {
Object action = invocation.getAction();
if (action instanceof ModelDriven) {
ModelDriven modelDriven = (ModelDriven) action;
ValueStack stack = invocation.getStack();
Object model = modelDriven.getModel();
if (model != null) {
stack.push(model);
}
if (refreshModelBeforeResult) {
invocation.addPreResultListener(new RefreshModelBeforeResult(modelDriven, model));
}
}
return invocation.invoke();
}
從ModelDrivenInterceptor中,即可以看到model對象被壓入ValueStack中!
其中的refreshModelBeforeResult是為了接下來描述的一個問題而提供的解決方法。
理解常見的陷阱及解決辦法
假設我們要更新一個實體對象,那么第一步首先是打開更新界面,請看下述模擬打開更新界面的代碼:
public class UserAction implements ModelDriven{
private User user;
@Override
public Object getModel() {
if(user == null){
user = new User();
//user.setUsername("這是原來的User對象");
}
return user;
}
public String updateInput(){
//根據(jù)ID,查詢數(shù)據(jù)庫,得到User對象
user = new UserManager().findUserById(user.getId());
return "update_input";
}
上述代碼中,new UserManager().findUserById(user.getId());這一行,將從數(shù)據(jù)庫中查詢相應的記錄,同時轉換為User對象返回。而return “update_input”;將轉向更新顯示頁面。
更新頁面如下:
<form action="test/user.action" method="post">
<input type="hidden" name="method:update">
id:<input type="text" name="id" value="<s:property value="id"/>"> <br/>
username:<input type="text" name="username" value="<s:property value="username"/>"><br/>
password:<input type="text" name="password" value="<s:property value="password"/>"><br/>
age:<input type="text" name="age" value="<s:property value="age"/>"> <br/>
address:<input type="text" name="address" value="<s:property value="address"/>"><br/>
<input type="submit" name="submit" value="更新用戶">
</form> <br/>
上述代碼運行起來之后,你在更新界面上將看不到數(shù)據(jù)(id屬性有值,其它屬性無顯示)。關鍵的原因是在執(zhí)行到updateInput之前,user對象(在getMode()方法中創(chuàng)建的對象)被壓到ValueStack中,這時候,UserAction和ValueStack都指向同一個user對象;但緊接著,UserAction中的user被一個新的user對象覆蓋,這時候,UserAction和ValueStack不再指向同一個user對象!ValueStack中是舊的user對象,而UserAction中是新的user對象!我們在JSP中,直接通過username/address等直接訪問,當然是要訪問ValueStack中的舊user對象,所以它們的屬性都是空的(id屬性除外)!
理解上述問題很重要,當你理解了問題,那么問題的解決方法就可以有很多了:
比如,你可以把新對象的屬性拷貝到舊對象上;比如,你可以先把舊對象從ValueStack中移除,然后再把新對象壓入ValueStack等……
在最新的struts2版本中,ModelDrivenInterceptor提供了一個配置參數(shù):refreshModelBeforeResult,只要將它定義為true,上述問題就被解決了!struts2的解決方案就是:先把舊的model對象從ValueStack中移除,然后再把新的model對象壓入ValueStack!