struts2漏洞升级(2.3至2.5)

替换JAR包

需要添加的JAR包如下
struts2漏洞升级(2.3至2.5)_第1张图片

配置Log4j2

由于Struts2-2.5使用log4j2作为日志,所以需要加上此配置

修改web.xml

新版本的配置中不用加上.ng,去掉即可
struts2漏洞升级(2.3至2.5)_第2张图片

修改struts.xml

修改头部版本
struts2漏洞升级(2.3至2.5)_第3张图片

package标签后面加一个strict-method-invocation="false"
image.png
在struts2.5中为了限制通配符方法的使用,增加了strict-method-invocation属性。struts2.3及之前的版本没有设置,所以可以直接调用。而struts2.5中strict-method-invocation属性值默认为true,故出现了无法映射的问题。

你可能感兴趣的:(java)