文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >专栏 >maven-default-http-blocker (http://0.0.0.0/)

maven-default-http-blocker (http://0.0.0.0/)

作者头像
井九
发布2025-10-31 08:31:52
发布2025-10-31 08:31:52
2240
举报
文章被收录于专栏:四楼没电梯四楼没电梯

从 Maven 3.8.1 版本开始,许多开发者在构建项目时可能会遇到一个意想不到的错误,提示无法下载依赖,并指向一个 HTTP 地址。这通常是由于 Maven 引入了一个名为 maven-default-http-blocker 的默认镜像。

本文将深入解析这个新特性背后的原因、它如何工作,并提供完整的解决方案,包括了详细的 settings.xml 路径说明。

在这里插入图片描述
在这里插入图片描述
1. 为什么会出现这个问题?Maven 的安全加固

这个问题源于 Maven 社区对安全的重视,旨在解决一个重要的安全漏洞 CVE-2021-26291

  • 不安全的 HTTP 链接: HTTP 协议不提供加密,这使得在依赖下载过程中可能发生 中间人攻击 (Man-in-the-Middle, MITM)。攻击者可以在传输过程中篡改依赖,注入恶意代码,给项目带来严重的安全风险。
  • POM 的不可变性: Maven Central 上的许多旧项目 POM 文件引用了不安全的 HTTP 仓库。由于这些 POM 文件是不可修改的,Maven 社区选择在客户端层面进行安全加固。

因此,从 Maven 3.8.1 开始,Maven 默认引入了 maven-default-http-blocker 镜像,阻止所有以 http:// 开头的外部仓库访问,将请求重定向到无效的 http://0.0.0.0/ 地址,从而保护用户。

2. 解决方案

方案

操作步骤

优点

缺点 & 警告

方案一<br>(推荐)<br>升级为 HTTPS

检查 pom.xml 或 settings.xml,将所有仓库 URL 从 http:// 修改为 https://。

最安全,最彻底,一劳永逸。

需要仓库支持 HTTPS,不适用于无法升级的遗留仓库。

方案二<br>(临时方案)<br>禁用阻断器

在 settings.xml 中添加或修改镜像规则来覆盖默认阻断器。

快速解决问题,无需修改项目 pom.xml。

不安全! 项目仍暴露在中间人攻击风险下。

2.1 方案一:将 HTTP 仓库升级为 HTTPS (推荐)

这是最安全、最彻底的解决方案,也是 Maven 社区所提倡的最佳实践

pom.xml 配置示例:

代码语言:javascript
复制
<project>
  ...
  <repositories>
    <repository>
      <id>my-legacy-repo</id>
      <url>http://my.legacy.repo.com/releases</url>
    </repository>

    <repository>
      <id>my-legacy-repo</id>
      <url>https://my.legacy.repo.com/releases</url>
    </repository>
  </repositories>
  ...
</project>
2.2 方案二:临时禁用默认阻断器 (不安全)

如果您的项目依赖于一个 只支持 HTTP 的遗留仓库,您可以选择禁用这个阻断器。

警告: 这种做法 不安全,仅应作为 临时解决方案

操作方式:

settings.xml<mirrors> 标签内部添加以下配置。

settings.xml 配置示例:

代码语言:javascript
复制
<settings>
  ...
  <mirrors>
    <mirror>
      <id>aliyunmaven</id>
      <name>阿里云公共仓库</name>
      <url>https://maven.aliyun.com/repository/public</url>
      <mirrorOf>*,!maven-default-http-blocker</mirrorOf>
    </mirror>

    </mirrors>
  ...
</settings>
3. 附录:settings.xml 文件路径详解

理解 settings.xml 的位置至关重要,它通常有两种类型,取决于您使用的环境。

3.1 用户级别 settings.xml (推荐修改)

这是最常见的 settings.xml 文件,它只对当前用户有效,也是 IDEA 等 IDE 默认使用的文件。

  • 路径: 位于用户主目录下的 .m2 隐藏文件夹中。
    • Windows: %USERPROFILE%\.m2\settings.xml
    • Linux/macOS: ~/.m2/settings.xml
3.2 全局级别 settings.xml (不推荐修改)

这个文件用于配置 Maven 安装目录下的所有用户,通常由管理员维护。

  • 路径: 位于 Maven 安装目录的 conf 文件夹中。
    • 路径: $M2_HOME/conf/settings.xml
3.3 IntelliJ IDEA 与 settings.xml

IntelliJ IDEA 本身没有一个独立的 settings.xml 文件。它提供了一个配置界面,让您选择要使用的文件。默认情况下,IDEA 使用 用户级别settings.xml 文件。

  • 配置路径: 您可以在 IDEA 的 File -> Settings -> Build, Execution, Deployment -> Maven 选项中进行检查或修改。

结论: 当您需要修改配置来解决此问题时,请优先修改您用户主目录下的 ~/.m2/settings.xml 文件

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2025-08-25,如有侵权请联系 cloudcommunity@tencent.com 删除
安全
default
配置
maven
http

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

安全
default
配置
maven
http
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 1. 为什么会出现这个问题?Maven 的安全加固
  • 2. 解决方案
  • 2.1 方案一:将 HTTP 仓库升级为 HTTPS (推荐)
  • 2.2 方案二:临时禁用默认阻断器 (不安全)
  • 3. 附录:settings.xml 文件路径详解
    • 3.1 用户级别 settings.xml (推荐修改)
    • 3.2 全局级别 settings.xml (不推荐修改)
    • 3.3 IntelliJ IDEA 与 settings.xml
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论