アカウント名:
パスワード:
サポートが終了している以上、自己責任による対処が大原則。自分でソースをいじるしかないわけですが。
Struts側にあれこれ手を加えるより、Apache CommonsのBeanUtilsのほうを修正したほうがよさげかな。"class"というプロパティでObject#getClass()を呼び出せてしまう、という挙動を殺すのが一番てっとりばやいか。
commons-beanutils.jarの
public static Object getSimpleProperty(Object bean, String name)
に
if (name.equals("class") || name.equals("Class")) throw new IllegalArgumentException("`class` property");
を追加したら、POCは動かなくなった。これでいくか。
あ、クラスはorg.apache.commons.beanutils.PropertyUtilsね。
うちも大体同じ。以下のものも参考にして、他の穴も潰した。Servletオブジェクトに触れる(?)とか、怖いので。
http://enterprisegeeks.hatenablog.com/entry/2014/04/28/205723 [hatenablog.com]
これStrutsだけの問題かと思いきや、BeanUtils使ってるフレームワークは全部起きる可能性があるということで、そこらじゅうに延焼してる雰囲気。Struts1やBeanUtilsなんて枯れきってると思ってたのにヤバい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
さーて、どう直すか (スコア:0)
サポートが終了している以上、自己責任による対処が大原則。自分でソースをいじるしかないわけですが。
Struts側にあれこれ手を加えるより、Apache CommonsのBeanUtilsのほうを修正したほうがよさげかな。"class"というプロパティでObject#getClass()を呼び出せてしまう、という挙動を殺すのが一番てっとりばやいか。
Re:さーて、どう直すか (スコア:1)
commons-beanutils.jarの
に
を追加したら、POCは動かなくなった。これでいくか。
Re:さーて、どう直すか (スコア:1)
あ、クラスはorg.apache.commons.beanutils.PropertyUtilsね。
Re: (スコア:0)
うちも大体同じ。以下のものも参考にして、他の穴も潰した。Servletオブジェクトに触れる(?)とか、怖いので。
http://enterprisegeeks.hatenablog.com/entry/2014/04/28/205723 [hatenablog.com]
Re: (スコア:0)
これStrutsだけの問題かと思いきや、BeanUtils使ってるフレームワークは全部起きる可能性があるということで、そこらじゅうに延焼してる雰囲気。
Struts1やBeanUtilsなんて枯れきってると思ってたのにヤバい。