1.在struts2   2.5版本中添加了对方法访问的权限,如果没有被添加到<allow-method> 方法的标签,将会报一下错误

5:05:18.078 [http-apr-8020-exec-8] ERROR org.apache.struts2.dispatcher.Dispatcher - Could not find action or result: /core/DayFirst!login.do

com.opensymphony.xwork2.config.ConfigurationException: Method login for action DayFirst is not allowed!

    at com.opensymphony.xwork2.DefaultActionProxy.prepare(DefaultActionProxy.java:203) ~[struts2-core-2.5.14.1.jar:?]

    at com.opensymphony.xwork2.DefaultActionProxyFactory.createActionProxy(DefaultActionProxyFactory.java:76) ~[struts2-core-2.5.14.1.jar:?]

    at org.apache.struts2.rest.RestActionProxyFactory.createActionProxy(RestActionProxyFactory.java:50) ~[struts2-rest-plugin-2.5.14.1.jar:?]

    at org.apache.struts2.dispatcher.Dispatcher.serviceAction(Dispatcher.java:564) [struts2-core-2.5.14.1.jar:?]

    at org.apache.struts2.dispatcher.ExecuteOperations.executeAction(ExecuteOperations.java:79) [struts2-core-2.5.14.1.jar:?]

    at org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:141) [struts2-core-2.5.14.1.jar:?]

    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241) [catalina.jar:7.0.73]

    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208) [catalina.jar:7.0.73]

    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:218) [catalina.jar:7.0.73]

    at org.apache.catalina.core.StandardContextValve.__invoke(StandardContextValve.java:122) [catalina.jar:7.0.73]

    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java) [catalina.jar:7.0.73]

    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:505) [catalina.jar:7.0.73]

    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:169) [catalina.jar:7.0.73]

    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103) [catalina.jar:7.0.73]

    at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:958) [catalina.jar:7.0.73]

    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116) [catalina.jar:7.0.73]

    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:452) [catalina.jar:7.0.73]

    at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1087) [tomcat-coyote.jar:7.0.73]

    at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637) [tomcat-coyote.jar:7.0.73]

    at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.doRun(AprEndpoint.java:2517) [tomcat-coyote.jar:7.0.73]

    at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.run(AprEndpoint.java:2506) [tomcat-coyote.jar:7.0.73]

    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) [?:1.7.0_79]

    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) [?:1.7.0_79]

    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-coyote.jar:7.0.73]

    at java.lang.Thread.run(Thread.java:745) [?:1.7.0_79]

解决方法:在struts2 的配置文件中加上<allowed-methods >regex:*</allowed-methods>即可。配置文件如下

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC

        "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"

        "http://struts.apache.org/dtds/struts-2.5.dtd">

<struts>

    <constant name="struts.i18n.encoding" value="UTF-8"/>

    <constant name="struts.action.extension" value="do"/>

    <constant name="struts.devMode" value="true"/>

    <constant name="struts.enable.DynamicMethodInvocation" value="true"></constant>

    <package name="core" namespace="/core" extends="struts-default">

        <action name="*.*" class="com.controller.{1}Action" method="{2}">

            <result name="success" >/WEB-INF/view/success.jsp</result>

            <!--这个配置是修复struts的漏洞-->

            <allowed-methods >regex:*</allowed-methods>

        </action>

    </package>

</struts>

当然问题是解决了,看着也很简单就是正则表达式,但是struts2 的原理是什么为什么要这么做?

1.struts2 为什么要对访问的方法加以控制?查看这篇文章就了解了http://www.freebuf.com/vuls/128668.html

2.分析怎么解决这个问题的。首先在控制台查看异常,最先出现异常的类先打印,所以直接看第一行的异常DefaultActionProxy.java:203 ,找到如下地方

配置文件是在server容器启动时候就开始执行了,为什么会这样,是因为配置文件的初始化放在struts2 的strutsPrepareAndExcuteFilter  的init() 方法中。再看this.config.isAllowedMethod 这个方法是判断传入进来的方法是否在配置文件中有。

this.allowedMethods.isAllowed(method) 这个类的这个方法控制了action 方法的访问权限

查看AllowedMethod 这个类,<Allowed-method> 标签是怎么被解析的
    public static AllowedMethods build(boolean strictMethodInvocation, Set<String> methods, String defaultRegex) {

        Set<AllowedMethods.AllowedMethod> allowedMethods = new HashSet();

        Iterator i$ = methods.iterator();

        while(true) {

            while(i$.hasNext()) {

                String method = (String)i$.next();

                boolean isPattern = false;

                StringBuilder methodPattern = new StringBuilder();

                int len = method.length();

                for(int x = 0; x < len; ++x) {

                    char c = method.charAt(x);

                    if (x < len - 2 && c == '{' && '}' == method.charAt(x + 2)) {

                        methodPattern.append(defaultRegex);

                        isPattern = true;

                        x += 2;

                    } else {

                        methodPattern.append(c);

                    }

                }

                if (isPattern && !method.startsWith("regex:") && !strictMethodInvocation) {

                    allowedMethods.add(new AllowedMethods.PatternAllowedMethod(methodPattern.toString(), method));

                } else {

                    String pattern;

                    if (method.startsWith("regex:")) {

                        pattern = method.substring(method.indexOf(":") + 1);

                        allowedMethods.add(new AllowedMethods.PatternAllowedMethod(pattern, method));

                    } else if (method.contains("*") && !method.startsWith("regex:") && !strictMethodInvocation) {

                        pattern = method.replace("*", defaultRegex);

                        allowedMethods.add(new AllowedMethods.PatternAllowedMethod(pattern, method));

                    } else if (!isPattern) {

                        allowedMethods.add(new AllowedMethods.LiteralAllowedMethod(method));

                    } else {

                        LOG.trace("Ignoring method name: [{}] when SMI is set to [{}]", method, strictMethodInvocation);

                    }

                }

            }

            LOG.debug("Defined allowed methods: {}", allowedMethods);

            return new AllowedMethods(strictMethodInvocation, allowedMethods, defaultRegex);

        }

    }

大致的意思就是, 将<allowed-method> 标签的内容放入allowedMethods 这个set 集合中,以便调用action 的方法时候决定这个action的方法是否可以被调用。

这里的放入规则遵循标红的判断,带有regex: 前缀的,带有* 的将被单独处理,就是将所有的方法都通过。

看上面的debug 图,发现struts2 默认带了一些有权限的方法 index input 等。

最后还有 <global-allowed-methods>regex:.*</global-allowed-methods>   标签也可以解决问题。

												


											
struts2 <allowed-methods >  标签配置的更多相关文章
	

    
								
  1. Struts2学习笔记(一):Struts2开发环境的配置
		
    一.Struts2应用所需的jar文件. 开发struts2应用需要依赖的jar文件在解压目录下的lib文件夹里面.开发struts2程序最少需要的jar文件为:struts2-core-2.xx.j ...
    
		
    2. 
						
  2. struts2 的struts.xml配置详解
		
    在应用struts框架进行开发时,必不可少的一步就是对struts.xml进行配置,对于该文件了解越多,我们开发起一应用程序定会更加顺手.下面我们看一下struts.xml的内容,每一项都有什么作用. ...
    
		
    3. 
						
  3. 解决struts2中UI标签出现的问题: The Struts dispatcher cannot be found
		
    解决struts2中UI标签出现的问题: The Struts dispatcher cannot be found 异常信息: The Struts dispatcher cannot be fou ...
    
		
    4. 
						
  4. Struts2学习笔记二 配置详解
		
    Struts2执行流程 1.简单执行流程,如下所示: 在浏览器输入请求地址,首先会被过滤器处理,然后查找主配置文件,然后根据地址栏中输入的/hello去每个package中查找为/hello的name ...
    
		
    5. 
						
  5. Struts2之数据标签(二)
		
    Struts2之数据标签(一):http://blog.csdn.net/u012561176/article/details/46848817 1.action标签:使用此标签能够同意在JSP页面中 ...
    
		
    6. 
						
  6. Struts2和SpringMVC简单配置以及区别总结
		
    Struts2: struts 2 是一个基于MVC(mode-view-con)设计模式的Web应用框架,是由Struts1和WebWork两个经典框架发展而来的. 工作流程: 1客户端浏览器发出H ...
    
		
    7. 
						
  7. Struts2框架学习(三)——配置详解
		
    一.struts.xml配置 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts  ...
    
		
    8. 
						
  8. struts2 s:if标签以及 #,%{},%{#}的使用方法
		
    <s:if>判断字符串的问题: 1.判断单个字符:<s:if test="#session.user.username=='c'"> 这样是从session ...
    
		
    9. 
						
  9. struts2 if正确标签示例
		
    下面总结一下struts2 中if标签的使用 (1)判断字符串是否为空 <s:if test="user.username==null or user.username==''&quo ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 嵌入式linux 实现mdev SD卡和U盘自己主动挂载和卸载的方法 mdev.conf
			
    首先先參考这些博客做一些了解:http://linux.chinaunix.net/techdoc/install/2009/11/18/1144936.shtml http://www.cnblog ...
    
			
    2. 
						
  2. CodeChef  Consecutive Snakes 三分(整数)
			
    题意 在年度阅兵中,所有的士兵蛇都在阅兵场集合了,但这些蛇的站位不对.整场阅兵必须能从主席台看清楚,所有蛇都应该站成一排.但这些士兵非常懒惰,你必须指挥士兵重新排队,使得所有人的移动距离之和最短. 形 ...
    
			
    3. 
						
  3. IntelliJ IDEA  jrebel6 安装,破解
			
    一.Setting中在线安装JRebel插件,install 二.拷贝下载的jrebel.rar解压后 把里面内容覆盖IDEA插件安装目录中此插件目录之下 下载:http://pan.baidu.co ...
    
			
    4. 
						
  4. C 编程中fseek、ftell的用法总结
			
    fseek 函数功能是将文件指针移动到指定的地方,因此可以通过fseek重置文件指针的位置.函数原型: int  fseek(FILE *stream, long offset,  int origi ...
    
			
    5. 
						
  5. 什么是 XML Schema?
			
    XML Schema 的作用是定义 XML 文档的合法构建模块,类似 DTD. XML Schema: 定义可出现在文档中的元素 定义可出现在文档中的属性 定义哪个元素是子元素 定义子元素的次序 定义 ...
    
			
    6. 
						
  6. Lightoj 1016 - Brush (II)
			
    After the long contest, Samee returned home and got angry after seeing his room dusty. Who likes to  ...
    
			
    7. 
						
  7. 四:多线程--NSOperation简单介绍
			
    一.NSOperation简介 1.NSOperation的作⽤:配合使用NSOperation和NSOperationQueue也能实现多线程编程 NSOperation和NSOperationQu ...
    
			
    8. 
						
  8. C# ListView 列宽调整 刷新
			
    /*********************************************************************** * C# ListView 列宽调整 刷新 * 说明: ...
    
			
    9. 
						
  9. bzoj 3991 寻宝游戏
			
    题目大意: 一颗树 有一个点的集合 对于每个集合的答案为 从集合内一个点遍历集合内所有点再返回的距离最小值 每次可以选择一个点 若在集合外便加入集合 若在集合内就删除 求每次操作后这个集合的答案 思路 ...
    
			
    10. 
						
  10. BZOJ:2819 NIM(树链剖分||DFS序 &&NIM博弈)
			
    著名游戏设计师vfleaking,最近迷上了Nim.普通的Nim游戏为:两个人进行游戏,N堆石子,每回合可以取其中某一堆的任意多个,可以取完,但不可以不取.谁不能取谁输.这个游戏是有必胜策略的.于是v ...
    
			
    11.