StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
sastruts:tomcat起動時に実行するクラスを設定する - 文系プログラマによるTIPSブログ
sastruts、というかseasarで、tomcat起動時に1回だけクラスを実行したい場合ってありますよね。 例えばほとんど変更の無いマスタをメモリにキャッシュさせるとか。 web.xmlにサーブレットを書いても動くんですが、seasarの初期処理が終わってないと、クラスがコンポーネントとして登録されません。 そこで、tomcat起動後でseasarの初期処理完了後に1度だけ実行する方法。 まあ簡単です。app.diconの末尾に↓みたいにクラス名とメソッド名を指定するだけです。 <components> <include path="convention.dicon"/> <include path="aop.dicon"/> <include path="j2ee.dicon"/> <include path="customizer.dicon"/> <component name=
SAStruts + JSONIC でバリデーションエラーをJSONで返す : json,sastruts,seasar | メモリークラフト
JSONのリクエストのパラメータをSAStrutsのバリデータで検証してNGだったらエラーメッセージ用のJSONオブジェクトを返す必要があったので、やってみました。 まず、検証メソッド /** * JSON検証メソッドのサンプル * 検証せずにいきなりエラーを返す * メッセージのキーがJSONオブジェクトのキーになる * @return エラーメッセージ */ public ActionMessages validateFind() { ActionMessages errors = new ActionMessages(); errors.add("test", new ActionMessage("msg", "こら!")); return errors; } 普通の設定だとJSONが受け取れないので、JSON用のエラーアクションを用意します。これはActionクラスの親クラスに実装
SaStrutsのvalidationをJSON形式で返す - Same Log
入力チェック等のValidationの処理をSaStruts側(アノテーションとか)で処理して結果を非同期で返す(JSON)処理を作ってみました。 必要なライブラリ javascriptライブラリ jquery http://jquery.com JSONフォーマッター JSONIC http://jsonic.sourceforge.jp/ 処理の流れ ・サーバーサイドにリクエストが送られてくる。 ・SaStruts側でValidationチェックを行う。 ・処理結果をActionWrapperクラスを継承したクラスでJSON形式にフォーマットしてレスポンスを返す。 ・クライアントサイドでレスポンスを受け取りJSON形式からエラーメッセージのhtmlを生成して表示。 修正箇所(サーバーサイド) SaStruts側の修正部分は、ActionWrapperクラスとS2RequestProce
2008-04-19
アノテーションによるネストした子Dtoのバリデーションは、複雑なことは対応しないという方針に基づいて、やってくれないのが仕様です。 2008-04-17 - 出羽ブログ 自分でカスタマイズするなら ActionCustomizer を継承し、setupValidator メソッドに少しコードを追加するすることで対応可能です。プロパティを getClass() して、その定義クラスを getFileds() し、getAnnotations() した後、プロパティ名 + "." + ネストプロパティ名をバリデーション対象として登録みたいな感じだったと思います。 追記:コードイメージ Cubby TIPS にあるような画面部品を実現する場合は下記のような感じ。Action に依存しないため、かなり便利です。 common.jsp や header.jsp で dao を getComponen
JSP で Action に指定した roles を使う - cypher256's blog
SAStruts では Servlet コンテナの認証を使った場合、アクションの roles 属性を指定することにより、アクセス制御が可能です。これでセキュリティは守られます。でも実際のところ、その権限によって、画面にメニューやリンク、ボタンの表示/非表示を切り替える必要があるのがほとんどではないでしょうか? JSP でベタで権限判定をしても良いのですが、せっかく、アクションに roles 属性を指定しているなら、そこでロール定義は管理し、JSP ではそのアクション名とメソッド名で判定したいところです。こんな感じ。 <!-- show ファンクションで表示/非表示判定 --> <c:if test='${x:show("hoge/index")}'> HogeAction の index 権限がある人のみ表示 </c:if> // ファンクション・クラス public class Func
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
