欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Boot之內(nèi)嵌tomcat版本升級(jí)操作示例

 更新時(shí)間:2022年06月08日 09:45:35   作者:徐徐長(zhǎng)安  
這篇文章主要為大家介紹了Spring Boot之內(nèi)嵌tomcat版本升級(jí)操作示例,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

Spring Boot之如何升級(jí)內(nèi)嵌tomcat版本

1. 背景

根據(jù)信息安全運(yùn)營(yíng)團(tuán)隊(duì)發(fā)布的Tomcat-AJP協(xié)議漏洞風(fēng)險(xiǎn)預(yù)警,Tomcat的AJP協(xié)議存在高危漏洞(默認(rèn)8009端口)由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控,攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù),讀取服務(wù)器webapp 下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。漏洞CVE編號(hào):CVE-2020-1938,此漏洞風(fēng)險(xiǎn)等級(jí)為高危。附件中為全行開發(fā)、生產(chǎn)涉及的系統(tǒng),請(qǐng)大家盡快確認(rèn)是否使用了AJP協(xié)議并按照臨時(shí)方案進(jìn)行修復(fù)。

修復(fù)方案如下:

1、未使用AJP協(xié)議方案:直接關(guān)閉AJP協(xié)議

(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):

<Connector port=“8009”protocol=“AJP/1.3” redirectPort=“8443” />

(2)將此行注釋掉(也可刪掉該行):

<!—<Connectorport=“8009” protocol=“AJP/1.3”redirectPort=“8443” />—>

(3)保存后需重新啟動(dòng),規(guī)則方可生效。

(4)重啟后執(zhí)行netstat -an|grep 8009 檢查8009端口已經(jīng)不在監(jiān)聽狀態(tài)

2、使用AJP協(xié)議:建議將Tomcat立即升級(jí)到9.0.31、8.5.51或7.0.100版本進(jìn)行修復(fù)

雖然我們的產(chǎn)品使用內(nèi)嵌tomcat,只是使用其中的http協(xié)議,未用到AJP協(xié)議,且已將AJP協(xié)議關(guān)閉。但是鑒于客戶的安全意識(shí)很高,對(duì)此不認(rèn)同,強(qiáng)烈要求升級(jí)tomcat版本。于是開始踩升級(jí)內(nèi)嵌tomcat的坑啦。

2. 過(guò)程

2.1 升級(jí)單模塊項(xiàng)目的tomcat版本

寫了個(gè)demo測(cè)試內(nèi)嵌tomcat版本,很容易就升級(jí)了。在pom文件里寫上tomcat想升級(jí)的版本,打包出來(lái),依賴的就是tomcat對(duì)應(yīng)的版本了。

    <properties>
        <tomcat.version>8.5.51</tomcat.version>
    </properties>

但是這種升級(jí)需要pom里依賴父項(xiàng)目為org.springframework.boot,也就類似于面向?qū)ο罄锏睦^承父類,并重寫父類對(duì)應(yīng)的方法,這個(gè)意思你懂的吧?也就是說(shuō)pom里有如下類似標(biāo)注,否則直接寫tomcat版本升級(jí)是不升效的。

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.8.RELEASE</version>
	</parent>

2.2 升級(jí)包含多個(gè)模塊的項(xiàng)目

升級(jí)多模塊的項(xiàng)目的tomcat版本,子模塊依賴tomcat,但是子模塊的父項(xiàng)目不可能是org.springframework.boot,而是項(xiàng)目對(duì)應(yīng)的父模塊,此時(shí)第一種方法就不見效了。那我們粗暴的,先將tomcat依賴剔除,再引入對(duì)應(yīng)版本的tomcat版本不就行了嘛。因?yàn)閠omcat相關(guān)的依賴再spring-boot-starter-web依賴模塊下面,所以先將它內(nèi)部包含的tomcat依賴剔除,再引入對(duì)應(yīng)的tomcat版本,具體如下:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3. 項(xiàng)目有打包子模塊如何升級(jí)

如果有自己打包子模塊,上述就會(huì)失效,具體原因還不清楚,但是也很好解決:將如上2步驟的依賴復(fù)制黏貼到打包子模塊的pom文件里,這樣就搞定。

尾聲

現(xiàn)在總結(jié)起來(lái)還是比較簡(jiǎn)單,但是前一段時(shí)間踩坑也是很腦殼疼的。一直升級(jí)不生效,只能各種嘗試,總算趕在項(xiàng)目發(fā)布前解決了,cheers !

以上就是Spring Boot之內(nèi)嵌tomcat版本升級(jí)操作示例的詳細(xì)內(nèi)容,更多關(guān)于Spring Boot內(nèi)嵌tomcat版本升級(jí)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • SpringBoot整合Kotlin構(gòu)建Web服務(wù)的方法示例

    SpringBoot整合Kotlin構(gòu)建Web服務(wù)的方法示例

    這篇文章主要介紹了SpringBoot整合Kotlin構(gòu)建Web服務(wù)的方法示例,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
    2019-02-02
  • Spring注解@EnableWebMvc使用的坑點(diǎn)及解析

    Spring注解@EnableWebMvc使用的坑點(diǎn)及解析

    這篇文章主要介紹了Spring注解@EnableWebMvc使用的坑點(diǎn)及解析,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-09-09
  • Spring Cloud Feign組件實(shí)例解析

    Spring Cloud Feign組件實(shí)例解析

    這篇文章主要介紹了Spring Cloud Feign組件實(shí)例解析,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2019-11-11
  • java如何獲取map中value的最大值

    java如何獲取map中value的最大值

    這篇文章主要介紹了java如何獲取map中value的最大值問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2023-05-05
  • SpringBoot上傳臨時(shí)文件被刪除引起報(bào)錯(cuò)的解決

    SpringBoot上傳臨時(shí)文件被刪除引起報(bào)錯(cuò)的解決

    這篇文章主要介紹了SpringBoot上傳臨時(shí)文件被刪除引起報(bào)錯(cuò)的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-11-11
  • 淺談Mybatis #和$區(qū)別以及原理

    淺談Mybatis #和$區(qū)別以及原理

    這篇文章主要介紹了淺談Mybatis #和$區(qū)別以及原理,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2020-07-07
  • 關(guān)于Spring的統(tǒng)一功能處理(攔截器)實(shí)現(xiàn)

    關(guān)于Spring的統(tǒng)一功能處理(攔截器)實(shí)現(xiàn)

    這篇文章主要介紹了關(guān)于Spring的統(tǒng)一功能處理(攔截器)實(shí)現(xiàn),每個(gè)方法中都要單獨(dú)寫用戶登錄驗(yàn)證的方法,即使封裝成公共方法,也一樣要傳參調(diào)用和在方法中進(jìn)行判斷,需要的朋友可以參考下
    2023-05-05
  • 解決logback使用${spring.application.name}日志打印路徑的問(wèn)題

    解決logback使用${spring.application.name}日志打印路徑的問(wèn)題

    這篇文章主要介紹了解決logback使用${spring.application.name}日志打印路徑的問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2024-06-06
  • 解析Java8 Stream原理

    解析Java8 Stream原理

    說(shuō)起 Java 8,我們知道 Java 8 大改動(dòng)之一就是增加函數(shù)式編程,而 Stream API 便是函數(shù)編程的主角,Stream API 是一種流式的處理數(shù)據(jù)風(fēng)格,也就是將要處理的數(shù)據(jù)當(dāng)作流,在管道中進(jìn)行傳輸,并在管道中的每個(gè)節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行處理,如過(guò)濾、排序、轉(zhuǎn)換等
    2021-06-06
  • springboot項(xiàng)目打成jar包后無(wú)法獲取static下的靜態(tài)資源文件的問(wèn)題分析

    springboot項(xiàng)目打成jar包后無(wú)法獲取static下的靜態(tài)資源文件的問(wèn)題分析

    這篇文章主要介紹了springboot項(xiàng)目打成jar包后無(wú)法獲取static下的靜態(tài)資源文件的問(wèn)題分析,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2020-08-08

最新評(píng)論