升级背景
因Spring Boot2.3.12存在CVE-2023-20883
安全漏洞,故决定对项目的Spring Boot版本进行升级来解决该问题。
而该漏洞在 Spring Boot 版本 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14 和更早的不受支持的版本中,如果 Spring MVC 与反向代理缓存一起使用,则可能会发生拒绝服务 (DoS) 攻击。
升级注意事项
- 确定版本号
- 确定依赖的传递方式
本次升级我确定升级为2.7.18版本,且因依赖的传递方式决定从tree的根部节点开始升级,另一种方式可以考虑在子项目进行排除覆盖直接升级。
升级过程
- 修改pom中Spring Boot的版本号
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.7.18</version>
<relativePath />
</parent>
- 刷新pom进行编译后发现mysql依赖报错,在Spring Boot2.7.8开始,mysql链接包进行了移动,修改mysql依赖为第二个方式
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>com.mysql</groupId>
<artifactId>mysql-connector-j</artifactId>
<scope>runtime</scope>
</dependency>
- 修改pom文件中读取本地lib的方式
- 修改pom文件中finalName的设置格式
遇到的问题
在项目编译和启动阶段遇到的问题
- 如果在项目中自定义了错误处理,实现了ErrorController.getErrorPath方法,在2.5.3后Spring Boot不再支持该方法,需要修改处理逻辑代码。
package org.springframework.boot.web.servlet.error;
public interface ErrorController {
}
- junit版本不兼容问题,如果在项目中使用junit4或者更早版本junit3,则需要修改依赖关系,因为在2.7.18中支持最低junit版本是junit5
- 在项目启动过程中出现循环依赖问题,因为在2.6以后Spring Boot默认不允许bean的循环引用,故增加配置允许循环引用,当然还有别的处理方式,请自行查询循环依赖和其他方式
spring.main.allow-circular-references:true
- 在项目中如果有进行对request路由进行过滤处理的逻辑,需要注意
RequestMappingInfo.getPatternsCondition().getPatterns()
已经不适用了,很容易在获取RequestCondition
报空指针异常,那么在2.7.18中还有一个方法getPathPatternsCondition()
也可以获取到路由,如果是想获取RequestCondition
对象那么还有getActivePatternsCondition()
进行获取,这个问题是在2.6.0以前和以后策略不同所造成的。当然还有其他方式可以简单解决。
增加配置将策略改回2.6前的方式,该配置在springboot3.X中部分版本还适用
spring:
mvc:
pathmatch:
matching-strategy: ant_path_matcher
- 在项目启动时出现
NoClassDefFoundError
报错,报错位置在启动类
注意该报错和ClassNotFoundException
是两码事
经检查在我的项目在多项目依赖过程中,修改了<spring-framework.version>5.2.24.RELEASE</spring-framework.version>
**原因:**可以看见我的项目是使用<parent>
标签继承了spring-boot-starter-parent
进行版本升级的,在spring-boot-starter-parent
中我们可以看见又继承了spring-boot-dependencies
,而在spring-boot-dependencies
中我们可以发现
我项目中修改的版本和2.7.18兼容的最低版本相差甚远
注释掉我声明的spring-framework
后编译启动成功。