Struts 2 缝隙操作 

一、  Struts 2 是什么

1. Struts2是一个基于MVC设计模式的Web应用框架，它素质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来成立模型与视图的数据交互。Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术根本长进行了合并的全新的Struts 2框架。其全新的Struts 2的体系布局与Struts 1的体系布局分歧巨大。Struts 2以WebWork为核心，给与拦截器的机制来措置惩罚惩罚用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱分开，所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变革，但是相对付WebWork，Struts 2的变革很小。

2.FilterDispatcher是整个Struts2的调理中心。也就是MVC中的C（控制中心），依据ActionMapper的功效来决定是否措置惩罚惩罚请求，假设ActionMapper指出该URL应该被Struts2措置惩罚惩罚。那么它将会运行Action措置惩罚惩罚，并遏制过滤器链上还没有运行的过滤器。

3.ActionMapper 会揣度这个请求是否应该被Struts2措置惩罚惩罚，假设必要Struts2措置惩罚惩罚。ActionMapper会返回一个东西来描写叙述请求相应的ActionInvocation的信息。

4.ActionProxy。它会创建一个ActionInvocation实例，位于Action和xwork之间，使得我们在将来有机会引入很多其它的实现方法。比喻通过WebService来实现等。

5.ConfigurationManager是xwork配置的打点中心，能够把它看做struts.xml这个配置文件在内存中的相应。

6.struts.xml，是开发人员必需帮衬的处所。是Stuts2的应用配置文件，卖力诸如URL与Action之间映射关系的配置、以及运行后页面跳转的Result配置等。

7.ActionInvocation：真正挪用并运行Action，它拥有一个Action实例和这个Action所依赖的拦截器实例。ActionInvocation会依照指定的挨次去运行这些拦截器、Action以及相应的Result。

Interceptor(拦截器)：是Struts2的基石。类似于JavaWeb的Filter，拦截器是一些无状态的类。拦截器能够本身主动拦截Action，它们给开发人员供给了在Action运行之前或Result运行之后来运行一些成果代码的机会。

8.Action：用来措置惩罚惩罚请求，封装数据。

二、  Struts缝隙汇总

S2-001 - 长途代码操作表单验证错误

S2-002 - <s：url>和<s：a>标签之间的跨站点脚本（XSS）缝隙

S2-003 - XWork ParameterInterceptors bypass允许执行OGNL语句

S2-004 - 供给静态内容时的目录遍历缝隙

S2-005 - XWork ParameterInterceptors bypass允许长途命令执行

S2-006 - XWork中的多个跨站脚本（XSS）生成的错误页面

S2-007 - 当有转换错误时，用户输入被评估为OGNL表达式

S2-008 - Struts2中的多个关键缝隙

S2-009 - ParameterInterceptor缝隙允许长途命令执行