Struts2，使用 method={1} 的最佳实践

发布于 2024-07-16 20:29:09 字数 373 浏览 6 评论 0原文

我是 Struts 2 的新手，并且遇到过这种语法（教程中推荐）。

<action name="Register_*" method="{1}" class="Register">
    <result name="input">/member/Register.jsp</result>
    <result type="redirectAction">Menu</result>
</action>

据我所知，它调用 Register.{1} 方法。问题是用户可以输入另一个（随机）值并导致 500 错误（这将正确地记录为错误）。

如何防止这种情况发生？

原文

I'm new to Struts 2 and I've come across this syntax (recommended in the tutorial).

<action name="Register_*" method="{1}" class="Register">
    <result name="input">/member/Register.jsp</result>
    <result type="redirectAction">Menu</result>
</action>

I understand that it calls Register.{1} method. The problem is a user could put in another (random) value and cause a 500 error (which would correctly be logged as an error).

How can this be prevented?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

德意的啸 2024-07-23 20:29:09

在我的应用程序中，我们这样使用它：

  <action name="*/*" class="{1}Action" method="{2}">
       <interceptor-ref name="CustomAuthStack" />       
            <result>/pages/{1}/{2}.jsp</result>
            <result name="input">/pages/error/denied.jsp</result>
            <result name="logout">/pages/error/denied.jsp</result>

            <!-- methods that come back to listing after processing -->
            <result name="remove" type="redirectAction">{1}/list</result>
            <result name="save"   type="redirectAction">{1}/list</result>
            <result name="enable"   type="redirectAction">{1}/list</result>

   ....

   </action>

启用斜杠动作

<constant name="struts.enable.SlashesInActionNames" value="true" />

对于像 myapp/users/list 这样的动作斜杠，您必须在 strus.xml 中

。现在你有了一个标准：

行动 --> 用户操作
jsp-----> 用户/list.jsp

等

In my applications we use it like this:

  <action name="*/*" class="{1}Action" method="{2}">
       <interceptor-ref name="CustomAuthStack" />       
            <result>/pages/{1}/{2}.jsp</result>
            <result name="input">/pages/error/denied.jsp</result>
            <result name="logout">/pages/error/denied.jsp</result>

            <!-- methods that come back to listing after processing -->
            <result name="remove" type="redirectAction">{1}/list</result>
            <result name="save"   type="redirectAction">{1}/list</result>
            <result name="enable"   type="redirectAction">{1}/list</result>

   ....

   </action>

for slashes in action like myapp/users/list you must enable slashes in action with the

<constant name="struts.enable.SlashesInActionNames" value="true" />

in the strus.xml.

so now you have a standard:

action --> UserAction
jsp -----> users/list.jsp

etc.

回复收藏 0 原文

百思不得你姐 2024-07-23 20:29:09

首先，它不会调用 Register.{1} 方法。它会调用 Register_{1}，其中 {1} 可能是一个操作类型（通常是编辑、显示等），

这意味着 URL 实际上是

Register_View
Register_Edit
e.t.c.

这样，如果用户手动将 URL 更改为不存在的内容，例如

Register_methodThatDoesNotExist

struts 2 将返回一个错误。

但为什么这是一个问题呢？在任何使用任何技术的 Web 应用程序中，如果用户手动篡改 URL，都会返回错误（也是 404）。

您到底想阻止什么？

更新：

为了防止 500 错误，您可以捕获所有操作（不匹配任何规则）并将其重定向到错误页面。
请参阅 struts 2 wiki 中的“通配符默认值”默认段落

http://cwiki.apache .org/WW/action-configuration.html

这个必须位于struts配置的末尾

First of all it won't call the Register.{1} method. It would call Register_{1} where {1} might be an action type (usually edit, show e.t.c)

Meaning that the URL is actually

Register_View
Register_Edit
e.t.c.

So if a user manually changes the URL to something that is not there such as

Register_methodThatDoesNotExist

then struts 2 will return an error.

But why is this a problem? In any web application that uses any technology if the user tampers manually with the URL an error will be returned (also the 404)

What are you trying to prevent exactly?

Update:

To prevent 500 errors you can catch all actions (that do not match any rule) and redirect them in an error page.
See the "Wildcard Default" default paragraph at the struts 2 wiki

http://cwiki.apache.org/WW/action-configuration.html

This must be at the end of the struts configuration

回复收藏 0 原文

~没有更多了~