脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Boot内嵌tomcat版本升级

Spring Boot之内嵌tomcat版本升级操作示例

 更新时间:2022年06月08日 09:45:35   作者:徐徐长安  
这篇文章主要为大家介绍了Spring Boot之内嵌tomcat版本升级操作示例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

Spring Boot之如何升级内嵌tomcat版本

1. 背景

根据信息安全运营团队发布的Tomcat-AJP协议漏洞风险预警,Tomcat的AJP协议存在高危漏洞(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp 下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。漏洞CVE编号:CVE-2020-1938,此漏洞风险等级为高危。附件中为全行开发、生产涉及的系统,请大家尽快确认是否使用了AJP协议并按照临时方案进行修复。

修复方案如下:

1、未使用AJP协议方案:直接关闭AJP协议

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port=“8009”protocol=“AJP/1.3” redirectPort=“8443” />

(2)将此行注释掉(也可删掉该行):

<!—<Connectorport=“8009” protocol=“AJP/1.3”redirectPort=“8443” />—>

(3)保存后需重新启动,规则方可生效。

(4)重启后执行netstat -an|grep 8009 检查8009端口已经不在监听状态

2、使用AJP协议:建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复

虽然我们的产品使用内嵌tomcat,只是使用其中的http协议,未用到AJP协议,且已将AJP协议关闭。但是鉴于客户的安全意识很高,对此不认同,强烈要求升级tomcat版本。于是开始踩升级内嵌tomcat的坑啦。

2. 过程

2.1 升级单模块项目的tomcat版本

写了个demo测试内嵌tomcat版本,很容易就升级了。在pom文件里写上tomcat想升级的版本,打包出来,依赖的就是tomcat对应的版本了。

    <properties>
        <tomcat.version>8.5.51</tomcat.version>
    </properties>

但是这种升级需要pom里依赖父项目为org.springframework.boot,也就类似于面向对象里的继承父类,并重写父类对应的方法,这个意思你懂的吧?也就是说pom里有如下类似标注,否则直接写tomcat版本升级是不升效的。

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.8.RELEASE</version>
	</parent>

2.2 升级包含多个模块的项目

升级多模块的项目的tomcat版本,子模块依赖tomcat,但是子模块的父项目不可能是org.springframework.boot,而是项目对应的父模块,此时第一种方法就不见效了。那我们粗暴的,先将tomcat依赖剔除,再引入对应版本的tomcat版本不就行了嘛。因为tomcat相关的依赖再spring-boot-starter-web依赖模块下面,所以先将它内部包含的tomcat依赖剔除,再引入对应的tomcat版本,具体如下:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3. 项目有打包子模块如何升级

如果有自己打包子模块,上述就会失效,具体原因还不清楚,但是也很好解决:将如上2步骤的依赖复制黏贴到打包子模块的pom文件里,这样就搞定。

尾声

现在总结起来还是比较简单,但是前一段时间踩坑也是很脑壳疼的。一直升级不生效,只能各种尝试,总算赶在项目发布前解决了,cheers !

以上就是Spring Boot之内嵌tomcat版本升级操作示例的详细内容,更多关于Spring Boot内嵌tomcat版本升级的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • java实现简单猜数字游戏

    java实现简单猜数字游戏

    这篇文章主要介绍了java实现简单猜数字游戏,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-12-12
  • 使用Spring Batch实现批处理任务的详细教程

    使用Spring Batch实现批处理任务的详细教程

    在企业级应用中,批处理任务是不可或缺的一部分,它们通常用于处理大量数据,如数据迁移、数据清洗、生成报告等,Spring Batch是Spring框架的一部分,本文将介绍如何使用Spring Batch与SpringBoot结合,构建和管理批处理任务,需要的朋友可以参考下
    2024-06-06
  • Java 中的 xx ≠ null 是什么新语法

    Java 中的 xx ≠ null 是什么新语法

    Java中null是一个关键字,用来标识一个不确定的对象。因此可以将null赋给引用类型变量,但不可以将null赋给基本类型变量。本文给大家分享Java 中的 xx ≠ null 是什么新语法,感兴趣的朋友一起看看吧
    2021-06-06
  • java实现潜艇大战游戏源码

    java实现潜艇大战游戏源码

    潜艇大战游戏相信大家都玩过,是一款非常有趣的小游戏,那么基于代码是如何实现的呢?今天小编给大家带来一篇教程帮助大家学习java实现潜艇大战游戏,感谢的朋友一起看看吧
    2021-06-06
  • springboot+vue实现oss文件存储的示例代码

    springboot+vue实现oss文件存储的示例代码

    对象存储服务是一种海量、安全、低成本、高可靠的云存储服务,本文主要介绍了springboot+vue实现oss文件存储的示例代码,具有一定的参考价值,感兴趣的可以了解一下
    2024-02-02
  • springmvc 中dao层和service层的区别说明

    springmvc 中dao层和service层的区别说明

    这篇文章主要介绍了springmvc 中dao层和service层的区别说明,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-08-08
  • Spring Data JPA的作用和用法小结

    Spring Data JPA的作用和用法小结

    Spring Data JPA是Spring框架的一个模块,它提供了一种数据访问抽象,允许以一种声明式和简洁的方式来处理数据库操作,本文主要介绍了Spring Data JPA的作用和用法小结,具有一定的参考价值,感兴趣的可以了解一下
    2024-05-05
  • Spring根据URL参数进行路由的方法详解

    Spring根据URL参数进行路由的方法详解

    这篇文章主要给大家介绍了关于Spring根据URL参数进行路由的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起来看看吧。
    2017-12-12
  • Springboot注入成员变量HttpServletRequest的原理分析

    Springboot注入成员变量HttpServletRequest的原理分析

    这篇文章主要介绍了Springboot注入成员变量HttpServletRequest的原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-05-05
  • Java中内存分配的几种方法

    Java中内存分配的几种方法

    本文主要介绍Java中几种分配内存的方法。我们会看到如何使用sun.misc.Unsafe来统一操作任意类型的内存。以前用C语言开发的同学通常都希望能在Java中通过较底层的接口来操作内存,他们一定会对本文中要讲的内容感兴趣
    2014-03-03

最新评论