struts2 漏洞 和 缓存攻击

?

本文首先发表在我的独立博客站点： 码蜂笔记? ?? http://coderbee.net/index.php/java/20130719/304

?

，所以这不算是个bug吧，但我觉得这绝对一个坑了，因为默认是开启缓存的，也就是说默认情况下，我是可以让用了struts2的应用OOME的。

?

这个问题的为难之处在于，虽然可以关闭缓存来避免OOME，但是没有缓存肯定会导致性能劣化。如果用了缓存，不管用什么缓存机制，都可能被攻击。

?

目前也没有好的解决方法，所以还是先把缓存禁用了，慢总比无法访问好。

?