sce*_*ler 5 java jsp jstl maven
在我的项目中,我正在使用
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<type>jar</type>
</dependency>
但是在我们的安全团队评估了jar之后,发现捆绑的org.apache.taglibs:standard jar版本为1.2.1,存在安全漏洞(https://web.nvd.nist.gov/view/vuln/detail ?vulnId = CVE-2015-0254)。Apache已在1.2.3版(https://tomcat.apache.org/taglibs/standard/)中对其进行了修复。
另外,META-INF/c.tld表明它实际上是JSTL 1.1版而不是1.2 版(请参阅JSTL 1.2版,但从Maven Repository交付了1.1版)。也许此错误与错误的taglibs标准版本有关?
但是,我该怎么做才能在jstl中更新捆绑的taglibs标准版本?
而不是整个jstl-1.2.jar下载所需组件的三个最新版本:
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-spec -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-spec</artifactId>
<version>1.2.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-impl -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-impl</artifactId>
<version>1.2.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-jstlel -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-jstlel</artifactId>
<version>1.2.5</version>
</dependency>
| 归档时间: |
|
| 查看次数: |
1111 次 |
| 最近记录: |