升级struts2-2.5，其实并没有想象中的那么难

最近公司在阿里的服务器总是受到DDOS攻击，和老大一起查看了攻击详情发现是由于struts版本过低，导致被入侵，于是升级了一下struts的版本到2.5，希望可以一次性解决这个问题

首先，替换jar包（注意：并不是图片里有的都要放到自己的项目中，自己的项目中用到了哪些，就替换掉哪些，要注意的是：如果你的项目中没有用到log4j.xml在换成2.5以后，运行tomcat启动项目，总是会提示你项目中缺少log4j.xml，这个问题自己建立一个log4j.xml放在src下，配一些最基本的东西就可以了，如果原来的项目是log4j.jar要保留，把log4j-api-2.8.2.jar也是要拷贝进去不然的话，在删除log4j.jar之后会报错，tomcat启动不起来）

然后删除自己项目中的xwork-core-2.3.20.jar，因为这个类库在struts升级到2.5版本已经包含在了struts2-core中了，所以一定要删除

之后要在自己的web.xml中修改下面代码

<filter>

        <filter-name>struts2</filter-name>

        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>

</filter>

把  org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter 中的.ng 去掉 修改为

<filter>

        <filter-name>struts2</filter-name>

        <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>

</filter>

修改之后，需要前往struts.xml中 把原先的头部信息修改为

<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" ".5.dtd"><!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" ".5.dtd">

其实也就是把版本换成2.5

在项目里有jsp的小伙伴们，如果你们用了s标签，请修改一下几点

<s:setname="myCode" value=" *** "/>

改成

<s:setvar="myCode" value=" *** "/>

-------------------------------------------------------------------------------------------------------------------------------------

<s:propertyescape="true" var="someProperty"/>

改成

<s:propertyescapeHtml="true" var="someProperty"/>

还有就是

由于新版本的Struts默认不能修改action的访问后缀，不能使用通配的方式调用action里的方法，所以添加：

<constant name="struts.enable.DynamicMethodInvocation" value="true"/>

<constant name="struts.enable.SlashesInActionNames" value="true"/>

使得<constant name="struts.action.extension" value="do" />可以生效