ClassCastException Log4JLogger не может быть приведен к Logger при повторном развертывании приложения ESAPI в WildFly

У меня возникла странная проблема с загрузкой классов с использованием ESAPI внутри WAR-файла, развернутого в WildFly.8.2.0.Final. Вот ошибка, которую я получаю:

09:35:47,383 ERROR [stderr] (default task-12) Caused by: java.lang.reflect.InvocationTargetException
09:35:47,383 ERROR [stderr] (default task-12)   at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
09:35:47,383 ERROR [stderr] (default task-12)   at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)
09:35:47,383 ERROR [stderr] (default task-12)   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
09:35:47,383 ERROR [stderr] (default task-12)   at java.lang.reflect.Method.invoke(Method.java:606)
09:35:47,383 ERROR [stderr] (default task-12)   at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:86)
09:35:47,383 ERROR [stderr] (default task-12)   ... 111 more
09:35:47,383 ERROR [stderr] (default task-12) Caused by: java.lang.ClassCastException: org.owasp.esapi.reference.Log4JLogger cannot be cast to org.owasp.esapi.Logger
09:35:47,383 ERROR [stderr] (default task-12)   at org.owasp.esapi.reference.Log4JLogFactory.getLogger(Log4JLogFactory.java:88)
09:35:47,383 ERROR [stderr] (default task-12)   at org.owasp.esapi.ESAPI.getLogger(ESAPI.java:154)
09:35:47,383 ERROR [stderr] (default task-12)   at org.owasp.esapi.reference.DefaultEncoder.<init>(DefaultEncoder.java:75)
09:35:47,383 ERROR [stderr] (default task-12)   at org.owasp.esapi.reference.DefaultEncoder.getInstance(DefaultEncoder.java:59)
09:35:47,383 ERROR [stderr] (default task-12)   ... 116 more

Эта ошибка не будет отображаться при запуске / перезапуске WildFly, но если я запускаю / останавливаю или повторно развертываю приложение, эта ошибка генерируется.

Прямо сейчас я тестирую один файл WAR, который включает в себя JAR (в его каталоге WEB-INF/lib), который вызывает библиотеку ESAPI. Ниже приведен код, выполняемый из JAR:

public String html(String html) {
    String sEncodedText = null;
    if (input != null) {
        sEncodedText = ESAPI.encoder().encodeForHTML(html);
    }
    return sEncodedText;
}

Мой проект создается с использованием maven, и я пробовал его без log4j и с включенной зависимостью log4j через тег области. Нетихер решает эту проблему. Библиотека ESAPI загружается как транзитивная зависимость от вспомогательного файла JAR.

Я обнаружил точную проблему, описанную здесь, но не разрешение по цепочке. Я проверил загрузку классов, и, похоже, не загружаются другие экземпляры log4j. Прямо сейчас у меня есть только это единственное приложение на моем тестовом стенде.

Включая фрагменты pom для JAR и WAR...

БАНКА:

<project    xmlns="http://maven.apache.org/POM/4.0.0"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
            xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>foo.bar</groupId>
    <artifactId>esapi-utils</artifactId>
    <version>1.0-SNAPSHOT</version>
    <packaging>jar</packaging>

    <dependencies>
        <dependency>
            <groupId>org.owasp.esapi</groupId>
            <artifactId>esapi</artifactId>
            <version>2.0.1</version>
        </dependency>
    </dependencies>
</project>

ВОЙНА:

<project    xmlns="http://maven.apache.org/POM/4.0.0"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>  
    <groupId>foo.bar</groupId> 
    <artifactId>esapi-webapp</artifactId>
    <version>1.0.0-SNAPSHOT</version>
    <packaging>war</packaging>

    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.1</version>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-war-plugin</artifactId>
                <version>2.6</version>
            </plugin>
        </plugins>
    </build>

    <dependencies>
        <!-- Could this be causing Class-Loading issues? -->
        <dependency>
            <groupId>org.owasp</groupId>
            <artifactId>csrfguard</artifactId>
            <version>3.0.0</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
            <scope>provided</scope>
        </dependency>
        <!-- Other libraries omitted -->
        <dependency>
            <groupId>foo.bar</groupId>
            <artifactId>esapi-utils</artifactId>
            <version>1.0-SNAPSHOT</version>
        </dependency>
    </dependencies>
</project>

А вот и полный вывод mvn dependecy:tree

[INFO] foo.bar:esapi-webapp:war:1.0.0-SNAPSHOT
[INFO] +- org.owasp:csrfguard:jar:3.0.0:runtime
[INFO] +- javax.servlet:servlet-api:jar:2.5:provided
[INFO] +- junit:junit:jar:4.12:test
[INFO] |  \- org.hamcrest:hamcrest-core:jar:1.3:test
[INFO] +- org.mockito:mockito-core:jar:1.10.19:test
[INFO] |  \- org.objenesis:objenesis:jar:2.1:test
[INFO] +- org.hamcrest:hamcrest-library:jar:1.3:test
[INFO] +- commons-io:commons-io:jar:1.4:compile
[INFO] +- javax.mail:mail:jar:1.4.3:compile
[INFO] |  \- javax.activation:activation:jar:1.1:compile
[INFO] +- log4j:log4j:jar:1.2.17:provided
[INFO] +- org.apache.velocity:velocity:jar:1.6:compile
[INFO] |  +- commons-collections:commons-collections:jar:3.2.1:compile
[INFO] |  +- commons-lang:commons-lang:jar:2.4:compile
[INFO] |  \- oro:oro:jar:2.0.8:compile
[INFO] +- org.apache.velocity:velocity-tools:jar:2.0:compile
[INFO] |  +- commons-beanutils:commons-beanutils:jar:1.7.0:compile
[INFO] |  +- commons-digester:commons-digester:jar:1.8:compile
[INFO] |  +- commons-chain:commons-chain:jar:1.1:compile
[INFO] |  +- commons-logging:commons-logging:jar:1.1:compile
[INFO] |  +- commons-validator:commons-validator:jar:1.3.1:compile
[INFO] |  +- dom4j:dom4j:jar:1.1:compile
[INFO] |  +- sslext:sslext:jar:1.2-0:compile
[INFO] |  +- org.apache.struts:struts-core:jar:1.3.8:compile
[INFO] |  |  \- antlr:antlr:jar:2.7.2:compile
[INFO] |  +- org.apache.struts:struts-taglib:jar:1.3.8:compile
[INFO] |  \- org.apache.struts:struts-tiles:jar:1.3.8:compile
[INFO] +- org.mybatis:mybatis-spring:jar:1.1.1:compile
[INFO] |  +- org.mybatis:mybatis:jar:3.1.1:compile
[INFO] |  +- org.springframework:spring-tx:jar:3.1.1.RELEASE:compile
[INFO] |  \- org.springframework:spring-jdbc:jar:3.1.1.RELEASE:compile
[INFO] +- org.springframework:spring-context:jar:3.2.13.RELEASE:compile
[INFO] |  +- org.springframework:spring-aop:jar:3.2.13.RELEASE:compile
[INFO] |  +- org.springframework:spring-beans:jar:3.2.13.RELEASE:compile
[INFO] |  +- org.springframework:spring-core:jar:3.2.13.RELEASE:compile
[INFO] |  \- org.springframework:spring-expression:jar:3.2.13.RELEASE:compile
[INFO] +- org.springframework:spring-test:jar:3.2.13.RELEASE:test
[INFO] +- org.springframework:spring-web:jar:3.2.13.RELEASE:compile
[INFO] +- org.springframework:spring-webmvc:jar:3.2.13.RELEASE:compile
[INFO] +- org.springframework:spring-context-support:jar:3.2.13.RELEASE:compile
[INFO] +- org.springframework.security:spring-security-web:jar:3.2.6.RELEASE:compile
[INFO] |  +- aopalliance:aopalliance:jar:1.0:compile
[INFO] |  \- org.springframework.security:spring-security-core:jar:3.2.6.RELEASE:compile
[INFO] +- org.springframework.security:spring-security-config:jar:3.2.6.RELEASE:compile
[INFO] +- foo.bar:esapi-util:jar:1.0-SNAPSHOT:compile
[INFO] |  +- jboss:jboss-common-jdbc-wrapper:jar:3.2.3:compile
[INFO] |  +- commons-codec:commons-codec:jar:1.4:compile
[INFO] |  \- org.owasp.esapi:esapi:jar:2.0.1:compile
[INFO] |     +- commons-configuration:commons-configuration:jar:1.5:compile
[INFO] |     +- commons-beanutils:commons-beanutils-core:jar:1.7.0:compile
[INFO] |     +- commons-fileupload:commons-fileupload:jar:1.2:compile
[INFO] |     +- xom:xom:jar:1.1:compile
[INFO] |     |  +- xerces:xmlParserAPIs:jar:2.6.2:compile
[INFO] |     |  +- xerces:xercesImpl:jar:2.6.2:compile
[INFO] |     |  +- xalan:xalan:jar:2.7.0:compile
[INFO] |     |  \- jaxen:jaxen:jar:1.1-beta-8:compile
[INFO] |     |     \- jdom:jdom:jar:1.0:compile
[INFO] |     +- org.beanshell:bsh-core:jar:2.0b4:compile
[INFO] |     \- org.owasp.antisamy:antisamy:jar:1.4.3:compile
[INFO] |        +- org.apache.xmlgraphics:batik-css:jar:1.7:compile
[INFO] |        +- net.sourceforge.nekohtml:nekohtml:jar:1.9.12:compile
[INFO] |        \- commons-httpclient:commons-httpclient:jar:3.1:compile
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 2.046 s
[INFO] Finished at: 2015-04-22T12:54:26-04:00
[INFO] Final Memory: 10M/25M
[INFO] ------------------------------------------------------------------------

java maven esapi
person Ryan S    schedule 22.04.2015    source источник
comment
ничего себе, afaik, класс Log4jLogger действительно реализует этот интерфейс esapi Logger. Таким образом, он не должен вызывать исключение. Не могли бы вы поделиться своим pom.xml? Я хочу попробовать это дело.   -  person kucing_terbang    schedule 22.04.2015
comment
Включены соответствующие фрагменты pom. Я проверил, что в WAR включается только один log4j (когда я устанавливаю область для компиляции). Единственное, о чем я могу думать, так это о том, что CSRFGuard может загружать те же библиотеки журналов?   -  person Ryan S    schedule 22.04.2015
comment
Ссылка, которую вы указали в своем вопросе, является мертвой ссылкой.   -  person TT.    schedule 22.04.2015
comment
вот необработанная ссылка: (lists.owasp.org/pipermail/ esapi-dev/2011-June/001786.html)   -  person Ryan S    schedule 22.04.2015
comment
Просто идея: что произойдет, если вы не развернете JAR-файл Log4J, а вместо этого добавите в свои зависимости развертывания зависимость от module=org.jboss.log4j.logmanager.   -  person TT.    schedule 22.04.2015
comment
@RyanS Я действительно не думаю, что CSRFGuard вызывает эту проблему, поскольку это зависит только от servlet и jsp API. Я действительно думаю, что проблема связана с конфликтом log4j. Итак, можно ли опубликовать все зависимости здесь, чтобы убедиться, что я ничего здесь не упустил? а также, вы уже установили область действия в log4j, верно? Если да, то ошибка все еще существует?   -  person kucing_terbang    schedule 22.04.2015
comment
Я загрузил всю свою зависимость mvn: вывод дерева для веб-приложения. Я тестировал как компиляцию log4j, так и предоставленную область, и у нее та же проблема.   -  person Ryan S    schedule 22.04.2015
comment
Мое первое предложение может состоять в том, чтобы попробовать обновить esapi до версии 2.1.0. Есть пара открытых CVE против 2.0.1. Он также имеет более упрощенную структуру зависимостей.   -  person avgvstvs    schedule 22.04.2015
comment
Обновлен до esapi 2.1.0 и все те же проблемы   -  person Ryan S    schedule 22.04.2015
comment
Вы пытались изменить либо версию log4j приложения, чтобы она соответствовала версии esapi, либо пробовали скомпилировать версию esapi для моментального снимка с версией 1.2.17? Кроме того, как выглядят ваши log4j.properties? Вы указываете на фабрику Эсапи?   -  person avgvstvs    schedule 22.04.2015

Ответы (1)


arrow_upward
5
arrow_downward

После борьбы с этим в течение двух дней, я думаю, что наконец понял ответ. Быстрая благодарность всем, кто предоставил некоторые предложения, которые в конечном итоге привели нас в нужное место. Я на 100% хочу опубликовать этот ответ для всех, кто может столкнуться с этой действительно странной и трудно отследимой проблемой в будущем.

TL; DR заключается в том, что WildFly создает новый модуль log4j только в том случае, если он может найти log4j.properties или log4j.xml в пути к классам для приложения. Этот процесс происходил во время миграции с jboss 4 на WildFly, и сервер был неправильно настроен, и конфигурацию не удалось найти (однако об ошибках не сообщается, поскольку WildFly просто использует свои собственные значения по умолчанию, настроенные в файле standalone.xml).

По сути, нужно было убедиться, что log4j.xml находится в пути к классам для приложения, чтобы WildFly создал новый модуль log4j для использования. Как только это было сделано, ESAPI заработал в приложении, как и ожидалось.

РЕДАКТИРОВАТЬ. Дальнейшие действия с этим нашли другое решение (для тех из вас, кто хочет использовать подсистему ведения журнала в wildfly и не должен предоставлять отдельные log4j.properties. Добавление следующей строки в подсистему ведения журнала:

<subsystem xmlns="urn:jboss:domain:logging:2.0">
    <use-deployment-logging-config value="false"/>
    <!-- Logging Configuration Here -->
</subsystem>

Также заставит загрузку классов вести себя правильно без необходимости явного предоставления файла конфигурации ведения журнала для log4j.

person Ryan S    schedule 22.04.2015
comment
Вы можете принять свой собственный ответ, кстати! Хорошая работа!! :-) - person avgvstvs; 25.04.2015