Question

修复 struts2 漏洞以后，页面标签报错

原 struts 版本为 2.1.8，由于最近的 struts2 漏洞，更新至 2.3.15.1

原来jsp代码中的：<s:textfield ... required="true" /> 中使用了 required 属性
但更新到 2.3.15.1 之后，发现 struts_tag.tld 中没有了 required 属性的定义
导致页面上报
java.lang.NoSuchMethodError: org.apache.struts2.views.jsp.ui.TextFieldTag.setRequired(Ljava/lang/String)

大家有没有什么好的解决方法

Answer 1

写个Interceptor,过滤掉这些恶意请求就行了,这样你就可以换回以前的jar包,应该就可以解决你的问题

String hacker=ServletActionContext.getRequest().getQueryString();
String resultstr = "success";
if(hacker.indexOf("action:%{")>-1||hacker.indexOf("redirect:%{")>-1||hacker.indexOf("redirectAction:%{")>-1){
invocation.getInvocationContext().getValueStack().set(
"message", "You are a hacker?");
return Action.ERROR;
}

Answer 2

高危漏洞建议修复，不然可能会中毒，可以用腾讯电脑管家，
电脑管家能够快速全面地检查计算机存在的风险，检查项目主要包括木马、
高危系统漏洞、垃圾文件、系统配置被破坏及篡改等。

Answer 3

那你就把设置了这些属性的页面改掉就好了啊

Answer 4

strusts-core 后台源代码变掉了 setRequired 变成 setRequiredLabel
jsp 标签里 尝试改成 requiredlabel

追问

Struts 竟然不兼容以前的版本，无奈

追答

没办法,不过小改动,我是直接把required="true" 全部搜索替换成requiredlabel="true" 应该就可以了
不过请给分奥 ：)

Answer 5

同时更换标签库文件

追问

标签库文件是单独配置的吗，不是在 struts-core.jar 包 META-INF/struts-tag.tld 里面配置的吗，另外实现的java文件也修改吧

追答

实在不行，换成jstl的实现