Spring Boot之内嵌tomcat版本升级操作示例

2024-07-28 21:06:40

Spring Boot之如何升级内嵌tomcat版本

1. 背景

根据信息安全运营团队发布的Tomcat-AJP协议漏洞风险预警，Tomcat的AJP协议存在高危漏洞（默认8009端口）由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp 下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。漏洞CVE编号:CVE-2020-1938,此漏洞风险等级为高危。附件中为全行开发、生产涉及的系统，请大家尽快确认是否使用了AJP协议并按照临时方案进行修复。

修复方案如下：

1、未使用AJP协议方案：直接关闭AJP协议

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port=“8009”protocol=“AJP/1.3” redirectPort=“8443” />

（2）将此行注释掉（也可删掉该行）：

<!—<Connectorport=“8009” protocol=“AJP/1.3”redirectPort=“8443” />—>

（3）保存后需重新启动，规则方可生效。

（4）重启后执行netstat -an|grep 8009 检查8009端口已经不在监听状态

2、使用AJP协议：建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复

虽然我们的产品使用内嵌tomcat，只是使用其中的http协议，未用到AJP协议，且已将AJP协议关闭。但是鉴于客户的安全意识很高，对此不认同，强烈要求升级tomcat版本。于是开始踩升级内嵌tomcat的坑啦。

2. 过程

2.1 升级单模块项目的tomcat版本

写了个demo测试内嵌tomcat版本，很容易就升级了。在pom文件里写上tomcat想升级的版本，打包出来，依赖的就是tomcat对应的版本了。

    <properties>
        <tomcat.version>8.5.51</tomcat.version>
    </properties>

但是这种升级需要pom里依赖父项目为org.springframework.boot，也就类似于面向对象里的继承父类，并重写父类对应的方法，这个意思你懂的吧？也就是说pom里有如下类似标注，否则直接写tomcat版本升级是不升效的。

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.8.RELEASE</version>
	</parent>

2.2 升级包含多个模块的项目

升级多模块的项目的tomcat版本，子模块依赖tomcat，但是子模块的父项目不可能是org.springframework.boot，而是项目对应的父模块，此时第一种方法就不见效了。那我们粗暴的，先将tomcat依赖剔除，再引入对应版本的tomcat版本不就行了嘛。因为tomcat相关的依赖再spring-boot-starter-web依赖模块下面，所以先将它内部包含的tomcat依赖剔除，再引入对应的tomcat版本，具体如下：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

3. 项目有打包子模块如何升级

如果有自己打包子模块，上述就会失效，具体原因还不清楚，但是也很好解决：将如上2步骤的依赖复制黏贴到打包子模块的pom文件里，这样就搞定。

尾声

现在总结起来还是比较简单，但是前一段时间踩坑也是很脑壳疼的。一直升级不生效，只能各种尝试，总算赶在项目发布前解决了，cheers !

以上就是Spring Boot之内嵌tomcat版本升级操作示例的详细内容，更多关于Spring Boot内嵌tomcat版本升级的资料请关注我们其它相关文章！

详解springboot-修改内置tomcat版本

详解springboot-修改内置tomcat版本 1.解析Spring Boot父级依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.6.RELEASE</version> </parent> 这块配置就是Spring
springboot tomcat最大线程数与最大连接数解析

springboot tomcat最大线程数与最大连接数首先看看springboot内置的tomcat,该如何配置这两个参数 # 在配置文件中添加如下内容 # tomcat最大线程数,默认为200 server.tomcat.max-threads=200 # tomcat最大连接数,默认为10000(网上的说法) server.tomcat.max-connections=300 如何理解上面两个参数为了方便理解,我这里使用了springboot编写了一个简单了的服务,包含一个模拟登录的接
Springboot 使用内置tomcat禁止不安全HTTP的方法

Springboot 内置tomcat禁止不安全HTTP方法 1.在tomcat的web.xml中可以配置如下内容让tomcat禁止不安全的HTTP方法 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</ht
Spring Boot启动过程（四）之Spring Boot内嵌Tomcat启动

之前在Spring Boot启动过程(二)提到过createEmbeddedServletContainer创建了内嵌的Servlet容器,我用的是默认的Tomcat. private void createEmbeddedServletContainer() { EmbeddedServletContainer localContainer = this.embeddedServletContainer; ServletContext localServletContext = getServ
spring boot实战之内嵌容器tomcat配置

本文介绍了spring boot实战之内嵌容器tomcat配置,分享给大家,具体如下: 默认容器 spring boot默认web程序启用tomcat内嵌容器tomcat,监听8080端口,servletPath默认为 / 通过需要用到的就是端口.上下文路径的修改,在spring boot中其修改方法及其简单: 在资源文件中配置: server.port=9090 server.contextPath=/lkl 启动spring boot 2015-10-04 00:06:55.768 INFO
Spring Boot之内嵌tomcat版本升级操作示例

目录 Spring Boot之如何升级内嵌tomcat版本 1. 背景修复方案如下: 2. 过程 2.1 升级单模块项目的tomcat版本 2.2 升级包含多个模块的项目 3. 项目有打包子模块如何升级尾声 Spring Boot之如何升级内嵌tomcat版本 1. 背景根据信息安全运营团队发布的Tomcat-AJP协议漏洞风险预警,Tomcat的AJP协议存在高危漏洞(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp 下的任意
解析Spring Boot内嵌tomcat关于getServletContext().getRealPath获取得到临时路径的问题

问题: 使用getServletContext().getRealPath()得到的是临时文件的路径. 每次重启服务,这个临时文件的路径还会变更. 类似下面这种路径: 解决措施:在idea的启动配置里面配置工作区. 在工作区下建立public文件夹. 问题解决. 原理解释:源码位置:org\springframework\boot\web\servlet\server\DocumentRoot.javaSpringBoot启动后,默认会把commonDocRoot设置成这三个目录(java项目
把spring boot项目发布tomcat容器（包含发布到tomcat6的方法）

spring boot因为内嵌tomcat容器,所以可以通过打包为jar包的方法将项目发布,但是如何将spring boot项目打包成可发布到tomcat中的war包项目呢? 1. 既然需要打包成war包项目,首先需要在pom.xml文件中修改打包类型,将spring boot默认的<packaging>jar</packaging>修改为<packaging>war</packaging>形式: 2. 其次spring boot的web项目中内嵌tomca
Spring Boot启动过程（六）之内嵌Tomcat中StandardHost、StandardContext和StandardWrapper的启动教程详解

StandardEngine[Tomcat].StandardHost[localhost]的启动与StandardEngine不在同一个线程中,它的start: // Start our child containers, if any Container children[] = findChildren(); List<Future<Void>> results = new ArrayList<>(); for (int i = 0; i < childre
Spring boot实现应用打包部署的示例

1.Spring Boot内置web Spring Boot 其默认是集成web容器的,启动方式由像普通Java程序一样,main函数入口启动.其内置Tomcat容器或Jetty容器,具体由配置来决定(默认Tomcat).当然你也可以将项目打包成war包,放到独立的web容器中(Tomcat.weblogic等等),当然在此之前你要对程序入口做简单调整. 对server的几个常用的配置做个简单说明: # 项目contextPath,一般在正式发布版本中,我们不配置 server.context-
使用 Spring Boot 内嵌容器 Undertow创建服务器的方法

Undertow是一个Web服务器,那么它就需要具备的现代Web服务器的基本特性,比如Servlet,JSP,文件服务器,代理服务器,安全认证等.undertow目前已经实现了绝大多数功能,并且因为wildfly通过了JavaEE7 TCK认证,所以可以说Undertow是一个通过Servlet 3.1认证的Web服务器和容器.这篇文章只分析Undertow的主干流程上的主要功能,即undertow-core和undertow-servlet. 1.简介 Undertow是一个非常轻量并高性能的
解决Spring boot 嵌入的tomcat不启动问题

此文章记录一次spring boot通过main 方法启动无法成功的问题 Unregistering JMX-exposed beans on shutdown 问题如下,因为已经解决用的别人的截图但是效果是一样的百度了一圈都说tomcat没有配置,但实际xml有如下配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomc
Spring boot 整合KAFKA消息队列的示例

这里使用 spring-kafka 依赖和 KafkaTemplate 对象来操作 Kafka 服务. 一.添加依赖和添加配置项 1.1.在 Pom 文件中添加依赖 <dependency> <groupId>org.springframework.kafka</groupId> <artifactId>spring-kafka</artifactId> </dependency> 1.2.添加配置项 spring: kafka: b
Spring boot整合jsp和tiles模板示例

目录首先贴上我的pox.xml文件,有详细的支持注释说明 <strong><?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation