公司项目上有用到这个玩意,甲方那边漏洞排查十分严格,要求尽快修复,就被老大安排上了,在这里记录一下,如果有大佬有更好的解决方法,万分感谢求告知!
漏洞详情
解决思路
升级SpringBoot版本
- 推荐使用,但不适用,现在很多项目都是低版本的,一旦升级,会出现更多关联问题
- 如果要升级,建议使用2.6.8以上版本,经过本人测试,这个版本以上的Spring Security对应的是5.6.5版本的以上的
- 低版本SpringBoot 与Spring Security版本的关系,可参考这篇文章,不过没有记录全,自己可以通过导入不同版本跳转查看引用版本
1
2
3
4
5
6<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.8</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
单独升级spring-boot-starter-security版本
- 不推荐使用,但适用
- 直接指定引用2.6.8版本以上的,经测试,暂时不会出现包冲突,可以正常使用
1
2
3
4
5
6
7<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>2.6.8</version>
</dependency>
</dependencies>
题外话:感觉github有点不人性化啊,ssh太久没用竟然会过期,搞了半天,重新绑定一遍就可以了,浪费时间
可以用的密钥钥匙是绿色的
