最近做银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4j的jar包导入到项目中来了,如下图:
实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4j的jar包剔除了项目。
剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。
因为是在导入springboot核心依赖的时候,由于springboot的自动装配机制,把log4j的包加载进来了,所以在pom.xml文件导入springboot核心依赖的时候,加上exclusions节点的这一段就OK了。
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
</exclusions>
完结!