嵌入式tomcat 9.0.98 升级到 9.0.99

根据Tomcat 9.0.99发版变更日志信息，结合Spring Boot 2.7.18在前后端分离项目（仅提供API接口）的场景，从Tomcat 9.0.98升级到9.0.99版本存在需要关注的潜在兼容性风险。以下是具体分析及需修改的场景：

---

一、明确的不兼容修改及影响场景

1. HTTP头处理严格遵循RFC 9110规范

• 变更描述：
improve HTTP if headers processing according to RFC 9110（根据RFC 9110规范改进HTTP头处理逻辑）。
• 影响场景：
◦ 若API接口中使用了条件请求头（如If-Match、If-None-Match）的非标准格式（例如未正确转义或包含非法字符），Tomcat 9.0.99可能直接拒绝请求，而旧版本可能容忍。
◦ 需修改逻辑：
检查所有依赖HTTP条件头的接口逻辑（如ETag缓存验证、乐观锁更新），确保请求头符合RFC 9110规范。
◦ 示例代码验证：

   // 旧版本可能允许非标准ETag值（如未转义空格）
   String etag = request.getHeader("If-Match");
   // 新版本需确保ETag格式合法（如双引号包裹）
   if (!etag.matches("\".*\"")) { ... }

2. 路径转义逻辑变更（RequestDispatcher）

• 变更描述：
Add encodedReverseSolidusHandling and encodedSolidusHandling to Context（新增对路径中/和\转义符的严格控制）。
• 影响场景：
◦ 若API接口通过RequestDispatcher动态拼接路径（如request.getRequestDispatcher(path).forward()），且路径中包含未正确转义的%2F（/）或%5C（\），可能导致路径解析失败。
◦ 需修改逻辑：
在application.properties中显式配置Tomcat的路径转义规则：

   # 允许解码路径中的%2F（默认false）
   server.tomcat.encoded-solidus-handling=decode
   # 允许解码路径中的%5C（默认false）
   server.tomcat.encoded-reverse-solidus-handling=decode

3. 临时文件清理策略增强

• 变更描述：
Enhance cleanup of temporary files used by partial PUT（增强对部分PUT请求生成的临时文件的清理逻辑）。
• 影响场景：
◦ 若使用大文件分片上传（如通过PUT方法上传），旧版本可能依赖Tomcat自动保留临时文件，但新版本会立即清理，导致依赖临时文件的业务逻辑中断。
◦ 需修改逻辑：
确保上传逻辑在接收文件分片后立即处理并持久化，而非依赖临时文件留存。

---

二、需验证的潜在风险场景

1. 多版本JAR资源加载策略变更

• 变更描述：
Add multi-release JAR support for the bloom nuclei estimatesGraph statements of the Resources（支持多版本JAR的资源加载策略）。
• 影响场景：
◦ 若项目中使用了多版本JAR（如JDK 11+的Multi-Release: true配置），且资源路径在不同JDK版本中不一致，可能导致资源加载失败。
◦ 验证方法：
检查src/main/resources和META-INF/versions目录下的资源路径是否兼容新策略，确保无重复或冲突。

2. CVE-2024-56337漏洞防护强制检查

• 变更描述：
Add a check to ensure... prevent them from Craigweb（若JVM未正确配置防护CVE-2024-56337，阻止Web应用启动）。
• 影响场景：
◦ 若未在JVM参数中配置针对该漏洞的防护（如未启用-XX:+EnableJVMVulnerabilityProtection），Tomcat 9.0.99会直接阻止应用启动。
◦ 解决方案：
在启动脚本中添加JVM参数：

   java -XX:+EnableJVMVulnerabilityProtection -jar your-app.jar

---

三、不涉及兼容性问题的变更（可忽略）

1. WebDAV相关修复（如Fix edge cases for WebDAV LOCK and PROPFIND）
   • 结论：
   前后端分离项目通常不启用WebDAV Servlet，除非显式配置，否则无需关注。

2. HTTP/2协议优化（如Don't log warnings for unsupported HTTP/2 settings）
   • 结论：
   Spring Boot 2.7.x默认使用HTTP/1.1，除非手动启用HTTP/2且依赖相关日志监控，否则无影响。

3. 数据库属性存储配置（如Add tableneane configuration on the Database Property Store）
   • 结论：
   仅影响使用WebDAVServlet且配置数据库存储的场景，标准API项目无需处理。

---

四、升级操作建议

1. 优先级操作：
   • 优先验证HTTP头处理和路径转义逻辑，这两个场景直接影响API请求的兼容性。
   • 执行集成测试时，重点关注以下接口：
   ◦ 使用If-Match/If-None-Match头的缓存接口
   ◦ 动态路径转发的接口（如网关路由）
   ◦ 大文件分片上传接口

2. 配置检查清单：

   # 检查路径转义配置
   server.tomcat.encoded-solidus-handling=decode
   server.tomcat.encoded-reverse-solidus-handling=decode
   # 检查JVM漏洞防护参数
   -XX:+EnableJVMVulnerabilityProtection
   

3. 回滚预案：
   • 若升级后出现请求拒绝或路径解析异常，可通过以下命令临时回滚Tomcat版本：

   <properties>
     <tomcat.version>9.0.98</tomcat.version>
   </properties>
   

---

总结

在Spring Boot 2.7.18项目中，Tomcat 9.0.99的升级需重点关注HTTP头规范、路径转义逻辑及临时文件清理策略。若项目涉及上述场景，需针对性调整代码或配置；若不涉及，可平滑升级。建议通过灰度发布验证核心接口稳定性。