老版本的Spring应用该如何应对这次的RCE漏洞？

　　依据Spring官宣承认网传大漏洞，并提供解决方案，有小伙伴问了这样的问题：，那如果我们的Spring版本比较老，该怎么办？这是一个好问题，所以今天单独拿出来说说。
　　这次的RCE漏洞宣布之后，官方给出的主要解决方案是升级版本，但只有Spring5。2、5。3和SpringBoot2。5、2。6提供了对应的升级版本。
　　那么对于一些还在用Spring5。0、5。1甚至Spring4。x、或者SpringBoot1。x和Spring2。4及以下版本的用户该怎么办呢？第一种方法
　　官方给出过一种通过扩展RequestMappingHandlerAdapter来实现的方法。同时也给出了一个SpringBoot下使用SpringMVC的实现方案，如果是WebFlux的话略做修改即可。但如果不是SpringBoot的话，则Bean的初始化方式还要再改改。SpringBootApplicationpublicclassMyApp｛publicstaticvoidmain（String〔〕args）｛SpringApplication。run（CarApp。class，args）；｝BeanpublicWebMvcRegistrationsmvcRegistrations（）｛returnnewWebMvcRegistrations（）｛OverridepublicRequestMappingHandlerAdaptergetRequestMappingHandlerAdapter（）｛returnnewExtendedRequestMappingHandlerAdapter（）；｝｝；｝privatestaticclassExtendedRequestMappingHandlerAdapterextendsRequestMappingHandlerAdapter｛OverrideprotectedInitBinderDataBinderFactorycreateDataBinderFactory（ListInvocableHandlerMethodmethods）｛returnnewServletRequestDataBinderFactory（methods，getWebBindingInitializer（））｛OverrideprotectedServletRequestDataBindercreateBinderInstance（Objecttarget，Stringname，NativeWebRequestrequest）throwsException｛ServletRequestDataBinderbindersuper。createBinderInstance（target，name，request）；String〔〕fieldsbinder。getDisallowedFields（）；ListStringfieldListnewArrayList（fields！null？Arrays。asList（fields）：Collections。emptyList（））；fieldList。addAll（Arrays。asList（class。，Class。，。class。，。Class。））；binder。setDisallowedFields（fieldList。toArray（newString〔〕｛｝））；returnbinder；｝｝；｝｝｝
　　这种需要我们去修改代码，其实我觉得还是有点麻烦的。如果对Spring机制不太熟悉的话，可能还会遇到不少麻烦。下面讲讲另外的几种方法。第二种方法
　　下面要讲的方法主要是规避的思路。什么是规避呢？就是针对该漏洞的利用条件去做一些调整。
　　比如，这次漏洞的条件是这些：JDK9使用ApacheTomcat部署使用WAR方式打包依赖springwebmvc或springwebflux
　　那么我们就可以选择规避其中的1个条件来防止漏洞被利用，比如：降级到JDK8使用Undertow部署SpringBoot的话，还能调整打包方式，采用JAR来规避
　　另外，DD还注意到，这次漏洞公布之后，Tomcat的版本也更新了，所以当你用WAR部署的情况下，可以直接下载最新的Tomcat版本来规避也是一种不错的选择。
　　当然了，有条件跟进新版本的还是要采用更新版本的方式哦。
　　原作者：公众号程序猿DD