Struts2--百度百科

Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开，所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

外文名

Struts 2

解    释

Struts的下一代产品

类    别

框架

理    解

WebWork的更新产品

目录

1. 1 发展历史
2. 2 工作原理
3. 3 体系结构
4. 4 技术改进
5. 5 对比

1. 6 基类
2. ▪ 标准返回值
3. ▪ 方法
4. 7 Result Type
5. ▪ dispatcher
6. ▪ freemaker

1. ▪ httpheader
2. ▪ stream
3. ▪ velocity
4. ▪ xslt
5. ▪ plainText
6. ▪ chain

1. ▪ redirect
2. ▪ redirectAction
3. 8 区别比较
4. 9 出现漏洞

发展历史

编辑

经过六年多的发展，Struts1已经成为了一个高度成熟的框架，不管是 稳定性还是可靠性都得到了广泛的证明。市场占有率超过20%，拥有丰富的开发人群，几乎已经成为了事实上的工业标准。但是随着时间的流逝，技术的进 步，Struts1的局限性也越来越多地暴露出来，并且制约了Struts1的继续发展。

对于Struts1框架而言，由于与JSP/Servlet耦合非常紧密，因而导致了一些严重的问题。首先，Struts1支持的表现层技术单一。由于Struts1出现的年代比较早，那个时候没有FreeMarker、Velocity等技术，因此它不可能与这些视图层的模版技术进行整合。其次，Struts1与Servlet API的严重耦合，使应用难于测试。最后，Struts1代码严重依赖于Struts1 API，属于侵入性框架。

从目前的技术层面上看，出现了许多与Struts1竞争的视图层框架，比如JSF、Tapestry和spring MVC等。这些框架由于出现的年代比较近，应用了最新的设计理念，同时也从Struts1中吸取了经验，克服了很多不足。这些框架的出现也促进了Struts的发展。

Struts已经分化成了两个框架：第一个是在传统的Struts1的基础上，融合了另外的一个优秀的Web框架WebWork的Struts2。Struts 2虽然是在Struts1的基础上发展起来的，但是实质上是以WebWork为核心的。Struts2为传统的Struts1注入了WebWork的先进的设计理念，统一了Struts1和WebWork两个框架。

Struts1分化出来的另外一个框架是Shale。这个框架远远超出了Struts1原有的设计思想，与原有的Struts1关联很少，使用了全新的设计思想。Shale更像一个新的框架而不是Struts1的升级。

工作原理

编辑

Struts 2的工作原理图：

 

 

体系结构

编辑

应用流程注解

当Web容器收到请求（HttpServletReques

t）它将请求传递给一个标准的的过滤链包括（ActionContextCleanUp）过滤器。

经过Other filters(SiteMesh ,etc)，需要调用FilterDispatcher核心控制器，然后它调用ActionMapper确定请求哪个 Action，ActionMapper返回一个收集Action详细信息的ActionMaping对象。

FilterDispatcher将控制权委派给ActionProxy,ActionProxy调用配置管理器(ConfigurationManager) 从配置文件中读取配置信息(struts.xml)，然后创建ActionInvocation对象。

ActionInvocation在调用Action之前会依次的调用所 用配置拦截器（Interceptor N）一旦执行结果返回结果字符串ActionInvocation负责查找结果字符串对应的(Result）然后执行这个Result Result会调用一些模版（JSP）来呈现页面。

拦截器(Interceptor N)会再被执行（顺序和Action执行之前相反）最后响应(HttpServletResponse)被返回在web.xml中配置的那些过滤器和（核心控制器）（FilterDispatcher）。

技术改进

编辑

Struts 2对Struts1进行了巨大的改进。主要表现在如下几个方面：

在Action的实现方面

Struts1要求必须统一扩展自Action类，而Struts2中可以是一个POJO。

线程模型方面

Struts1的Action是单实例的，一个Action的实例处理所有的请求。Struts 2的Action是一个请求对应一个实例（每次请求时都新new出一个对象），没有线程安全方面的问题。

Servlet依赖方面

Struts1的Action依赖于Servlet API，比如Action的execute方法的参数就包括request和response对象。这使程序难于测试。Struts2中的Action不再依赖于Servlet API，有利于测试，并且实现TDD。

封装请求参数

Struts1中强制使用ActionForm对象封装请求的参数。Struts2可以选择使用POJO类来封装请求的参数，或者直接使用Action的属性。

表达式语言方面

Struts1中整合了EL，但是EL对集合和索引的支持不强，Struts2整合了OGNL（Object Graph NavigationLanguage）。

绑定值到视图技术

Struts1使用标准的JSP，Struts2使用“ValueStack”技术。

类型转换

Struts1中的ActionForm基本使用String类型的属性。Struts2中使用OGNL进行转换，可以更方便的使用。

Struts1中支持覆盖validate方法或者使用Validator框架。Struts2支持重写validate方法或者使用XWork的验证框架。

Action执行控制的对比

Struts1支持每一个模块对应一个请求处理，但是模块中的所有Action必须共享相同的生命周期。Struts2支持通过拦截器堆栈为每一个Action创建不同的生命周期。

拦截器的应用

拦截器，在AOP（Aspect-Oriented Programming）中用于在某个方法或字段被访问之前，进行拦截然后在之前或之后加入某些操作。拦截是AOP的一种实现策略。

在Webwork的中文文档的解释为——拦截器是动态拦截Action调用的对象。它提供了一种机制可以使开发者可以定义在一个action执行的前后执行的代码，也可以在一个action执行前阻止其执行。同时也是提供了一种可以提取action中可重用的部分的方式。

谈到拦截器，还有一个词大家应该知道——拦截器链 （Interceptor Chain，在Struts 2中称为拦截器栈Interceptor Stack）。拦截器链就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时，拦截器链中的拦截器就会按其之前定义的顺序被调用。

1.拦截器的实现原理：

大部分时候，拦截器方法都是通过代理的方式来调用的。Struts 2的拦截器实现相对简单。当请求到达Struts 2的ServletDispatcher时，Struts 2会查找配置文件，并根据其配置实例化相对的拦截器对象，然后串成一个列表（list），最后一个一个地调用列表中的拦截器。

2.拦截器的配置

Struts 2已经为您提供丰富多样的，功能齐全的拦截器实现。大家可以至struts2的jar包内的struts-default.xml查看关于默认的拦截器与拦截器链的配置。

在struts.xml文件中定义拦截器，拦截器栈：

1 2 3 4 5 6 7 8 9 10 11 12

<package name="my" extends="struts-default" namespace="/manage"> <interceptors> <!-- 定义拦截器 --> <interceptor name="拦截器名" class="拦截器实现类"/> <!-- 定义拦截器栈 --> <interceptor-stack name="拦截器栈名"> <interceptor-ref name="拦截器一"/> <interceptor-ref name="拦截器二"/> </interceptor-stack> </interceptors> ...... </package>

对比

编辑

Struts和Webwork同为服务于Web的一种MVC框架，从某种 程度上看，Struts2是从WebWork2上升级得到的。甚至Apache的官方文档也讲：WebWork2到Struts2是平滑的过渡。我们甚至 也可以说Struts2就是WebWork2.3而已。在很多方面Struts仅仅是改变了WebWork下的名称。Struts2对应的有自己的标签， 并且功能强大。Webwork也有自己的标签。在2005年12月，WebWork与Struts Ti决定合并， 在此同时， Struts Ti 改名为 Struts Action Framework 2.0,成为Struts真正的下一代。

基类

编辑

标准返回值

ActionSupport基类中定义了五个标准的返回值 ，当然我们可以自己随意定义返回的名字

String SUCCESS = "success"; //默认是 SUCCESS 类型

String NONE = "none";

String ERROR = "error";

String INPUT = "input";

String LOGIN = "login";

方法

ActionSupport基类定义了了一些方法，程序员自己写的action如果继承了ActionSupport基类，就可以应用这些方法，很方便解决一些问题。

一些比较常用的方法：

getText(String aTextName);//国际化用到

...//getText(String aTextName)的重载方法

addActionMessage(String aMessage);

addFieldError(String fieldName, String errorMessage);

//校验失败后返回给客户端的信息，struts2 标签<s:fielderror />可以取得

addActionError(String anErrorMessage);

Result Type

编辑

在默认时，<result>标签的type属性值是“dispatcher”（实际上就是转发，forward）。开发人员可以根据自己的需要指定不同的类型，如redirect、stream等。如下面代码所示：

<result name="save" type="redirect">

/result.jsp

</result>

这此result-type可以在struts2-core-2.0.11.1.jar包或struts2源代码中的struts-default.xml文件中找到，在这个文件中找到<result-types>标签，所有的result-type都在里面定义了。代码如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<result-types> <result-type name="chain" class="com.opensymphony.xwork2.ActionChainResult"/> <result-type name="dispatcher" class="org.apache.struts2.dispatcher.ServletDispatcherResult" default="true"/> <result-type name="freemarker" class="org.apache.struts2.views.freemarker.FreemarkerResult"/> <result-type name="httpheader" class="org.apache.struts2.dispatcher.HttpHeaderResult"/> <result-type name="redirect" class="org.apache.struts2.dispatcher.ServletRedirectResult"/> <result-type name="redirectAction" class="org.apache.struts2.dispatcher.ServletActionRedirectResult"/> <result-type name="stream" class="org.apache.struts2.dispatcher.StreamResult"/> <result-type name="velocity" class="org.apache.struts2.dispatcher.VelocityResult"/> <result-type name="xslt" class="org.apache.struts2.views.xslt.XSLTResult"/> <result-type name="plainText" class="org.apache.struts2.dispatcher.PlainTextResult" /> <!-- Deprecated name form scheduled for removal in Struts 2.1.0. The camelCase versions are preferred. See ww-1707 --> <result-type name="redirect-action" class="org.apache.struts2.dispatcher.ServletActionRedirectResult"/> <result-type name="plaintext" class="org.apache.struts2.dispatcher.PlainTextResult" /> </result-types>

dispatcher

用来转向页面，通常处理JSP

1	org.apache.struts2.dispatcher.ServletDispatcherResult

freemaker

处理FreeMarker模板

1	org.apache.struts2.views.freemarker.FreemarkerResult

httpheader

控制特殊HTTP行为的结果类型

1	org.apache.struts2.dispatcher.HttpHeaderResult

stream

向浏览器发送InputStream对象，通常用来处理文件下载，还可用于返回AJAX数据

1	org.apache.struts2.dispatcher.StreamResult

StreamResult等价于在Servlet中直接输出Stream流。这种Result被经常使用于输出图片、文档等二进制流到 客户端。通过使用StreamResult，我们只需要在Action中准备好需要输出的InputStream即可。

配置：

1 2 3 4 5 6

<result name="success" type="stream"> <param name="contentType">image/jpeg</param> <param name="inputName">imageStream</param> <param name="contentDisposition">filename="document.pdf"</param> <param name="bufferSize">1024</param> </result>

同时，StreamResult支持许多参数，对输出的Stream流进行参数控制。

velocity

处理Velocity模板

1	org.apache.struts2.dispatcher.VelocityResult

随 着模板技术的越来越流行，使用Freemarker或者Velocity模板进行View层展示的开发者越来越多。Struts2同样为模板作为 Result做出了支持。由于模板的显示需要模板（Template）与数据（Model）的紧密配合，所以在Struts2中，这两个Result的主 要工作是为模板准备数据。

xslt

处理XML/XLST模板

1	org.apache.struts2.views.xslt.XSLTResult

plainText

显示原始文件内容，例如文件源代码

1	org.apache.struts2.dispatcher.PlainTextResult

chain

用来处理Action链

1	com.opensymphony.xwork2.ActionChainResult

chain 其实只是在一个action执行完毕之后，forward到另外一个action，所以他们之间是共享HttpServletRequest的。在使用 chain作为Result时，往往会配合使用ChainingInterceptor。ChainingInterceptor的作用是在Action 直接传递数据。事实上，源Action中ValueStack的数据会被做一次Copy，这样，2个Action中的数据都在ValueStack中，使 得对于前台来说，通过ValueStack来取数据，是透明而共享的。比如说，一张页面中，你可能有许多数据要显示，而某些数据的获取方式可能被很多不同 的页面共享（典型来说，“推荐文章”这个小栏目的数据获取，可能会被很多页面所共享）。这种情况下，可以把这部分逻辑抽取到一个独立Action中，并使 用chain，将这个Action与主Action串联起来。这样，最后到达页面的时候，页面始终可以得到每个Action中的数据。

从实战上讲，使用chain作为Result也的确存在着上面所说的许多 问题，我个人也是非常不推崇滥用这种Result。尤其是，对于使用Spring和Hibernate的朋友来说，如果你开启 OpenSessionInView模式，那么Hibernate的session是跟随HttpServletRequest的，所以session在 整个action链中共享。这会为我们的编程带来极大的麻烦。因为我们知道Hibernate的session会保留一份一级缓存，在action链中， 共享一级缓存无疑会为你的调试工作带来很大的不方便。

所以，谨慎使用chain作为你的Result，应该成为一条最佳实践。

redirect

重定向到一个URL

1	org.apache.struts2.dispatcher.ServletRedirectResult

如 果你在Action执行完毕后，希望执行另一个Action，有2种方式可供选择。一种是forward，另外一种是redirect。有关 forward和redirect的区别，这里我就不再展开，这应该属于Java程序员的基本知识。在Struts2中，分别对应这两种方式的 Result，就是chain和redirect。

先来谈谈redirect，既然是重定向，那么源地址与目标地址之间是2个不同的HttpServletRequest。所以目标地址将无法通过ValueStack等Struts2的特性来获取源Action中的数据。

同时，Redirect的Result支持在配置文件中，读取并解析源Action中ValueStack的值，并成为参数传递到Redirect的地址中。

redirectAction

重定向到一个Action

1	org.apache.struts2.dispatcher.ServletActionRedirectResult

区别比较

编辑

redirect和redirectAction chain的区别

struts2中关于result的返回类型一般我们是转发到一个jsp 页面或者是html页面等，但是struts2中的result的返回类型还有redirect,redirectAction,chain。对于这三种 返回类型之间肯定是有区别的，下面我们来看看关于redirect redirectAction chain这三种struts2的返回类型之间的区别。当使用type=“redirectAction” 或type=“redirect”提交到一个action并且需要传递一个参数时。这里是有区别的：使用type=“redirectAction”时， 结果就只能写Action的配置名，不能带有后缀：“.action”

Xml代码

1 2 3

<action name="Login" class="steven.actions.LoginAction"> <result name="success" type="redirectAction">User?u_id=${loginBean.u_id}</result> </action>

使用type=“redirect”时，结果应是action配置名+后缀名

Xml代码

1 2 3

<action name="Login" class="steven.actions.LoginAction"> <result name="success" type="redirect">User.action?u_id=${loginBean.u_id}</result> </action>

redirect:action处理完后重定向到一个视图资源（如：jsp页面），请求参数全部丢失，action处理结果也全部丢失。

redirect-action:action处理完后重定向到一个action，请求参数全部丢失，action处理结果也全部丢失。

chain:action处理完后转发到一个action，请求参数全部丢失，action处理结果不会丢失。

出现漏洞

编辑

曝出高危安全漏洞

Struts2曝出2个高危安全漏洞，一个是使用缩写的导航参数前缀时的远程代码执行漏洞，另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”，从而使企业服务器变成黑客手中的“肉鸡”。

解决措施

Apache Struts团队已发布了最新的Struts 2.3.15.1，修复了上述漏洞，建议采用Struts 2.0至Struts 2.3的网站开发者尽快升级至最新版。^[1] 

带来影响

据乌云平台漏洞报告，淘宝、京东、腾讯等大型互联网厂商均受此影响，而且 漏洞利用代码已经被强化，可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。Struts漏洞影响巨大，受影响站点以电商、银行、门户、政府居 多，而且一些自动化、傻瓜化的利用工具开始出现，填入地址可直接执行服务器命令，读取数据甚至直接关机等操作。^[1] 

瑞星安全专家介绍，本次曝出的2个漏洞是由于缩写的导航和重定向前缀 “action:”、 “redirect:”、 “redirectAction:”造成的。瑞星安全专家表示，由于这些参数前缀的内容没有被正确过滤，导致黑客可以通过漏洞执行命令，获取目标服务器的 信息，并进一步取得服务器最高控制权。届时，被攻击网站的数据库将面临全面泄密的威胁，同时黑客还可以通过重定向漏洞的手段，对其他网民进行钓鱼攻击或挂马攻击。^[2]