文档章节

SpringMVC vs Struts2

许雪里
 许雪里
发布于 2017/03/27 18:24
字数 810
阅读 396
收藏 1

SpringMVC vs Struts2S

性能

输入图片说明

MVC框架性能比较几篇文章: Link Link

开发效率/体验

输入图片说明

提高springmvc可读性的一个建议:规定Controller的 package 路径和 URL 路径一致; 如 “/shop/wed/shopList”页面对应Controller的包名为:com.dianping.web.mvc.shop.wed.ShopController

漏洞大事件

输入图片说明

1、京东12G: 2016-12-10晚间,京东被媒体爆料有12G的数据遭泄漏,外泄数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多种信息。京东集团回应称初步判断该数据源于2013年Struts2的安全漏洞问题;

官方回复:京东信息安全部门答复,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。

2、淘宝“拖库门”: 2013年7月22日传出来的消息,淘宝的数据库因为Strust2漏洞被拖。

官方微博答复:淘宝网已于当天第一时间对该漏洞进行修复,并确认此漏洞并没有被成功利用,用户的数据安全和账号数据未见任何异常。

3、 “乌云知识库查询-乌云公开漏洞”,基本是一年之前的历史漏洞;因为“SJJY-白帽子事件”之后,乌云网已经基本关闭了。

漏洞攻击工具

输入图片说明

网络上流传着许多针对struts2流行漏洞的共计工具,攻击成本非常低。

官方纰漏漏洞

输入图片说明

ONGL漏洞浅析

struts2参数赋值原理:
1、struts采用值栈存储请求和响应的数据:ValueStack ;
2、值栈通过ONGL存取数据:OgnlValueStack;
3、值栈中存取数据时会执行表达式:com.opensymphony.xwork2.ognl.OgnlUtil#compile
4、 ParametersInterceptor为每个参数声明一个ONGL语句,并通过对象图导航调用getter/setter方法 

如参数:?city.name=beijing,ONGL语句为:action.getCity().setName(“beijing”),执行后完整参数赋值。

1、OGNL(对象图导航语言): 所谓对象图,即以任意一个对象为根,通过OGNL可以访问与这个对象关联的其它对象。 对象图的导航,必须通过getters方法进行导航;主要的功能就是赋值与取值;

2、比较而言,springmvc通过参数解析器是将request对象内容进行解析成方法形参;(method 形参反射)

问题来了:假如参数中包含攻击代码如“rm -rf /*”呢? (ParametersInterceptor可以拦截部分非法参数,但是将参数转码为unicode可绕过)

输入图片说明

感兴趣的同学参照以下代码体验一下OGNL语句; 输入图片说明

迭代、文档资料

输入图片说明

趋势、社区

1、spring boot:开箱即用,库的集合;
2、spring cloud:基于Spring Boot的一整套实现微服务的框架。他提供了微服务开发所需的配置管理、服务发现、断路器、智能路由、微代理、控制总线、全局锁、决策竞选、分布式会话和集群状态管理等组件。 
    a、 spring-cloud-config:对标Lion
    b、 Spring Cloud Netflix:对标Pigeon (注册中心/网关/负载均衡/监控/熔断器)
    c、 Spring Cloud Bus:对标Swollow
    d、… … 
    ( spring cloud对于中小型互联网公司来说是一颗惊雷)

输入图片说明

© 著作权归作者所有

共有 人打赏支持
许雪里

许雪里

粉丝 686
博文 21
码字总数 88799
作品 15
上海
后端工程师
私信 提问
Spring集成 Struts2

Spring如何整合struts2? 1) 整合目标? 使IOC容器来管理Struts2的Action! 2) 如何进行整合? ① 正常加入Struts2 ② 在Spring的IOC容器中配置Struts2的Action 特别注意:在IOC容器中配置S...

哎小艾
2017/11/08
0
0
struts2和spring mvc,孰优孰劣?

最近我在将APDPlat升级到Java8,由于之前有很多的同学希望我把APDPlat的struts2替换为spring mvc,所以我就决定试试看。 本次我把APDPlat的struts2改造为spring mvc的目标是:99.99%不改动J...

杨尚川
2015/04/19
0
58
Spring、Spring MVC、Struts2、、优缺点整理

Spring 及其优点 大部分项目都少不了Spring的身影,为什么大家对他如此青睐,而且对他的追捧丝毫没有减退之势呢 Spring是什么: Spring是一个轻量级的DI和AOP容器框架。 说它轻量级有一大部分...

架构师springboot
昨天
0
0
使用springMVC的详细步骤

使用springMVC的详细步骤   使用springMVC也可以代替struts2,当然只是代替业务分发的功能,struts2的一些其他功能它是没有的,不然要struts2有什么用。   下面我用springMVC代替struts2...

风中帆
2015/07/11
0
3
细谈Spring(十一)深入理解spring+struts2整合(附源码)

Spring和struts2是我们在项目架构中用的比较多的两个框架,怎么才能把这两个框架用好,怎么来整合是我们掌握运用这两个框架的关键点,下面我们就怎么来整合,从哪来整合,为什么要整合,从这...

youyu2299
2013/12/06
0
0

没有更多内容

加载失败,请刷新页面

加载更多

IOS  学习记录

1.StackView=>IOS 9及以上支持 2.布局方式: AutoLayout / StackView 堆布局 (线性布局) 3.屏幕适配 (资源分辨率、设计分辨率、屏幕分辨率) Size Class技术 可以针对 屏幕的方向进行设置...

萨x姆
38分钟前
0
0
第四次工业革命:自主经济的崛起

https://36kr.com/p/5170370.html

shengjuntu
昨天
3
0
Cloud Native 与12-Factor

12-Factor(twelve-factor),也称为“十二要素”,是一套流行的应用程序开发原则。Cloud Native架构中使用12-Factor作为设计准则。 12-Factor 的目标在于: 使用标准化流程自动配置,从而使...

waylau
昨天
9
0
java多线程2

“非线程安全”问题存在于“实例变量”中,如果是方法内部的私有变量,则不存在线程安全问题。这是因为方法内部的变量都是私有造成的。 synchronized 获取的都是对象锁。如果多个线程访问多个...

一滴水穿石
昨天
4
0
今天的学习

1,document.location.href:获取整个url 2,str.split(' '):用字符分割字符串 3,$this->load->library(' '):引用图像处理类 4,$this->load->library(' '):引用Email类 5,特殊访问指针$th......

墨冥
昨天
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部