强制指定log4j版本(打包后也没问题)

最新推荐文章于 2025-10-20 09:09:53 发布
原创 最新推荐文章于 2025-10-20 09:09:53 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jar #apache

针对近期的log4j漏洞问题,本文介绍了如何通过在公共依赖管理或单独服务的POM配置中,强制指定log4j版本为2.17.2,以确保所有涉及log4j的组件都已更新,提升系统安全性。

背景:

log4j漏洞从去年升级了好几个版本,确实已经让大家很烦躁了,但还是得要处理下

动手:

一般来说多个服务依赖都会引用同一个公共依赖管理,来减少版本冲突,这样我们直接在公共依赖里面强制指定即可。

1、公共依赖POM设置:

<properties>
    <log4j.version>2.17.2</log4j.version>
    <!--这个是指定一些依赖中的版本-->
    <log4j2.version>2.17.2</log4j2.version>
</properties>


   <dependencyManagement>
        <dependencies>
    
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-to-slf4j</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-slf4j-impl</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            
        </dependencies>
    </dependencyManagement>

2、单独的服务

只有一个服务,也没引用公共的依赖怎么搞呢,也是一样的

POM设置

<properties>
    <log4j.version>2.17.2</log4j.version>
    <!--这个是指定一些依赖中的版本-->
    <log4j2.version>2.17.2</log4j2.version>
</properties>

  <dependencies>
  
        <!--强制指定log4j版本-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>${log4j.version}</version>
        </dependency>

    </dependencies>

效果:

打包后,我们把打开jar包里面看看,所有涉及到log4j的版本都是我们指定的 2.17.2

在这里插入图片描述

前端发版后及时拉取最新版本代码, 解决浏览器缓存问题;| jQuery拦截所有Ajax请求,全局添加token请求头
专注于计算机研发知识和资讯分享
08-22 1096
vue 默认配置,打包后 css 和 js 的名字后面都加了哈希值,不会有缓存问题,但是 index.html 在服务器端可能是有缓存的,需要在服务器配置不让缓存 index.html。proxy_set_header是nginx设置请求头给上游服务器,add_header是nginx设置响应头信息给浏览器。问题: 当修改了JS文件的内容并发布到线上时,用户的浏览器可能会因为缓存了旧的JS文件而不会立即加载新的代码。更新生产环境站点资源时,需要错开高峰期 ,涉及前端文件更新的,记得做站点缓存验证。
MySQL高频基本面试问题整理
热门推荐
张彦峰的博客
04-07 174万+
总结大厂MySQL高频基本面试问题整理,用于快速查缺补漏
Java日志使用slf4j配置log4j详解
weixin_38927257的博客
11-13 1109
文章目录依赖包配置log4j使用log4j设置日志文件名ConversionPattern参数的意义 依赖包 slf4j-apislf4j-log4j12版本要一致 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <v...
如何通过项目配置文件指定Log4J的配置文件
stamen的程序员之路
07-28 1051
[b][size=x-large]引言[/size][/b] 在[url=http://stamen.iteye.com/blog/2230665l]打造易于部署的WEB应用项目 [/url]一文中,我们介绍了如何对WEB项目进行重构,使项目WAR包无状态化,给项目部署升级带来了极大的便利的方法: 1)首先是将项目配置文件通过JVM系统参数指定,将项目部署文件移出WAR包,使项目WAR包...
获取Log4j-core Maven坐标
最新发布
Leon_Jinhai_Sun的博客
10-20 294
的 Maven 依赖坐标如下:</</</</
Log4j配置文件和pom.xml文件的相应配置
m0_74141097的博客
09-28 890
Log4j文件的依赖和代码
java详解 ---log4j的两个版本
月牙湾的博客
12-27 9492
先来看看一些关于一些jar包的一些问题: 1.为什么要使用jar包? 官方提供的一些包功能之外,如果想拓展一些别的功能,你就可以借助引入一些别的第三方jar包用来扩展项目的功能. 2.如何引用第三方jar包? ①.先获取jar(需要知道jar名 与 jar版本获取jar) ②.把jar包引入至项目 外部项目 内部项目 和 自定义library三种方法. ③.引入步骤: (
apache-log4j-2.17.2-bin.tar
05-03
这个是解决了漏洞版本
在idea后台启动没问题,但是在打包jar包后启动,查询的中文都是乱码
07-03
### ✅ 方法二:配置 Spring Boot 的日志框架编码(logback / log4j2) #### 如果你使用的是 `logback-spring.xml`,确保控制台和文件输出都指定了 UTF-8: ```xml <pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%...
HbuilderX中真机测试没问题打包后录音上传失败
msy_msy的博客
07-24 1165
android 没有勾上录音的写入和读取权限,申请第三方(高德https://lbs.amap.com/dev/key/app),填写SHA1等,获取key,填入manifest.json SDK配置,打包时必须选择自有证书,填写相关信息,打包 Android权限大全 1.android.permission.WRITE_USER_DICTIONARY  允许应用程序向用户词典中写入新词 2...
『CV学习笔记』Pyinstaller打包python程序遇到的问题(Win&Linux)+Cython编译动态库+PyArmor加密
AI新视界
08-03 2723
PyInstaller将Python应用程序及其所有依赖项捆绑到一个单独的包中。用户可以在不安装Python解释器或任何模块的情况下运行打包的应用程序。最新的PyInstaller 6.3.0支持Python 3.8及更高版本,并正确捆绑了许多主要的Python包,例如numpy、matplotlib、PyQt、wxPython等。
log4j-spring-boot-2.17.2.jar
06-20
log4j-spring-boot-2.17.2.jar
log4j-to-slf4j-2.14.0.jar
05-28
Log4j 2 APISLF4J之间的Apache Log4j绑定。 org.apache.logging.log4j/log4j-to-slf4j/2.14.0/log4j-to-slf4j-2.14.0.jar
log4j-to-slf4j-2.11.2.jar
01-08
log4j-to-slf4j-2.11.2.jar
log4j-to-slf4j:从 Log4j 迁移到 SLF4J 的实用程序。 它还将 Log4j 日志消息转换为 SLF4J 日志消息
07-09
介绍 这是一个简单的实用程序,可用于将 Log4j 格式的日志语句转换为 SLF4J 格式的日志语句。 示例输入是: logger.info("Hello " + who); 将转换为: logger.info("Hello {}", who); 先决条件 您应该安装了 Python 2.7.x。 假设您使用的是具有可变参数支持的 SLF4J 1.7 或更高版本。 怎么跑? 运行这个脚本非常容易。 只需使用文件名作为参数调用脚本。 log4jtoslf4j.py ExampleInput.java 原始输入文件将以 .orig 扩展名保存。 您可以提供多个输入文件作为参数。 重要笔记 假设您的记录器被命名为 log 或 logger(不区分大小写)。 如果您以任何其他方式命名记录器,请修改全局变量 LOGGER_NAMES,它应该可以工作。 建议您仅对已签入的文件运行转
log4j2必需jar
09-30
log4j2必需jar包,包含log4j-api-2.11.1.jarlog4j-core-2.11.1.jar
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 2144
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
Java笔记---Log4j的两个版本
liu_chenglong的博客
08-28 3045
Java笔记—Log4j的两个版本 官网地址:http://logging.apache.org/log4j/2.x/ 、 http://logging.apache.org/log4j/1.2/ 使用log4j的优势: 1、可以有6中不同级别的信息打印方式 2、可以选择多种打印输出源 –> console(控制台)/file(文件)/email(邮件)… 3、打印时可以丰富打印信息 Log4j2.x性能较log4j1.x在某种程度上提升了10倍: 本文时间:2020-08-28 0
为什么加上<log4j2.version>配置就可以更新log4j2的版本
程序猿DD
12-17 1057
最近log4j2的核弹级漏洞席卷了大部分互联网公司,升级版本成了这两周的核心任务。对于要升级到什么版本,最新版本2.16.0是最佳选择。那么如何快速升级,之前也给出了Spring Boot...
uniapp安卓本地插件自定义基座运行没问题,云打包不生效
05-10
<think>好的,我现在需要解决用户提出的关于UniApp自定义基座在云打包后不生效的问题。用户提到之前提供的引用内容,我需要结合这些信息来分析可能的原因和解决方案。 首先,根据引用[1],自定义基座主要用于开发调试,不能直接作为正式版发布。如果用户在云打包时勾选了“自定义基座”,生成的是测试包,而正式包需要重新打包且不勾选该选项。这可能是一个常见的原因,用户可能在打包正式版时错误地勾选了自定义基座选项,导致配置没有生效。 接下来,引用[3]提到了本地离线打包的流程,特别是清理和重建项目的重要性。虽然这是针对本地打包的步骤,但云打包可能存在类似的机制。如果用户在生成自定义基座后没有正确清理或配置,可能会导致云打包时使用了旧的设置,从而不生效。 另外,引用[2]指出覆盖安装后pages.json不生效的问题,这可能与缓存或版本管理有关。类似地,自定义基座配置未生效可能涉及到云打包时的缓存问题,或者是版本号未更新,导致新配置没有被正确应用。 接下来,我需要考虑其他可能的原因。例如,用户是否正确生成了自定义基座?生成自定义基座后是否在云打包时正确选择了该基座?此外,SDK配置是否正确集成到项目中,是否在云打包时被正确包含? 可能的解决步骤应包括: 1. 确认用户生成自定义基座的步骤是否正确,包括在HBuilder中运行到自定义基座。 2. 检查云打包时是否误选了自定义基座选项,导致生成的是测试包而非正式包。 3. 确保版本号更新,避免缓存问题。 4. 清理项目并重新打包,类似于本地打包时的Clean和Rebuild步骤。 5. 检查原生插件的配置是否正确,是否在打包时被正确包含。 此外,还需要提醒用户,正式包和测试包的区别,以及如何正确进行云打包的配置。例如,正式包需要重新提交打包请求,不勾选自定义基座选项,并确保所有原生插件的配置已经正确添加到项目中。 可能还需要检查manifest.json文件中的配置是否正确,特别是涉及到原生插件和模块的部分。如果这些配置没有正确设置,即使生成了自定义基座,云打包时也可能不会包含必要的组件。 总结来说,用户的问题可能源于打包时的选项错误、版本未更新、缓存问题或配置错误。需要一步步引导用户检查这些环节,并提供具体的操作步骤,如重新打包不勾选自定义基座、更新版本号、清理项目等。</think>### UniApp自定义基座云打包不生效解决方案 #### 一、核心原因分析 1. **测试包与正式包混淆** 云打包时若勾选“自定义基座”会生成**测试包**,此时原生插件仅适配调试环境;正式包必须取消勾选该选项[^1]。 2. **版本号未更新** 覆盖安装时若版本号未变更,可能导致缓存未清除,新配置未生效[^2]。 3. **原生插件未正确配置** 自定义基座需在manifest.json中声明原生插件,且云打包时必须确保SDK配置同步到云端[^3]。 --- #### 二、具体解决步骤 1. **正式包打包规范** - 在HBuilder X中点击**发行 → 原生App-打包** - **取消勾选“使用自定义基座”**(关键步骤) - 检查证书和SDK配置是否符合厂商要求[^1] ```javascript // manifest.json示例(需声明原生插件) "plugins": { "MyNativePlugin": { "version": "1.0.0", "provider": "com.example.MyPluginPackage" } } ``` 2. **强制版本更新** - 修改manifest.json中`版本号`和`版本名称` - 安卓推荐使用`versionCode`递增策略(如10203 → 10204) 3. **清理打包缓存** - 本地操作:删除项目下`unpackage`、`platforms`目录 - 云端机制:每次打包会新建编译环境,但建议修改版本号触发全新编译 4. **基座验证流程** 1. 本地调试阶段: ```bash # 生成自定义基座(HBuilder X菜单:运行 → 运行到手机 → 制作自定义基座) ``` 2. 云打包后检查APK内容: - 使用压缩软件查看APK中是否存在`assets/apps/[appid]/www`目录 - 确认`AndroidManifest.xml`包含插件声明 --- #### 三、高级排查方案 ```mermaid graph TD A[问题现象] --> B{打包类型} B -->|测试包| C[检查自定义基座调试流程] B -->|正式包| D[检查manifest配置] D --> E[原生插件声明] E --> F[SDK密钥配置] F --> G[厂商通道集成] ``` 1. **日志取证** 在`Application`类中添加初始化日志: ```java public class MyApplication extends Application { @Override public void onCreate() { super.onCreate(); Log.d("CustomDebug", "SDK初始化状态:" + MySDK.getInstance().getStatus()); } } ``` 2. **云打包后验证** 通过ADB命令检查运行时状态: ```bash adb logcat | grep 'uni-app原生插件' ``` --- #### 四、延伸建议 1. **多环境配置管理** 使用`package.json`环境变量区分开发/生产配置: ```json "uni-app": { "scripts": { "prod": { "title": "生产环境", "env": { "UNI_PLATFORM": "app-plus", "CUSTOM_BASE": false } } } } ``` 2. **持续集成方案** 推荐在Jenkins等CI工具中配置打包流程,确保每次打包都包含: - 版本号自动递增 - 自动清理历史构建产物 - 自动上传mapping文件[^3] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值