自logback 1.2.9版本起,许多开发者发现其原有的logback.groovy配置文件不再生效,并在初始化时收到类似“unexpected filename extension of file [...] should be either .groovy or .xml”的错误信息。这并非偶然,而是logback项目团队有意识地做出的设计决策。
通过对比Logback 1.2.8和1.2.9版本中ch.qos.logback.classic.util.ContextInitializer类的configureByResource()方法,可以清晰地看到这一变化:
Logback 1.2.8版本 (部分代码):
public void configureByResource(URL url) throws JoranException {
// ...
final String urlString = url.toString();
if (urlString.endsWith("groovy")) {
if (EnvUtil.isGroovyAvailable()) {
GafferUtil.runGafferConfiguratorOn(loggerContext, this, url);
} else {
// ... error for missing Groovy classes
}
} else if (urlString.endsWith("xml")) {
JoranConfigurator configurator = new JoranConfigurator();
configurator.setContext(loggerContext);
configurator.doConfigure(url);
} else {
throw new LogbackException("Unexpected filename extension of file [...]");
}
}Logback 1.2.9版本 (部分代码):
public void configureByResource(URL url) throws JoranException {
// ...
final String urlString = url.toString();
if (urlString.endsWith("xml")) {
JoranConfigurator configurator = new JoranConfigurator();
configurator.setContext(loggerContext);
configurator.doConfigure(url);
} else {
throw new LogbackException("Unexpected filename extension of file [...]");
}
}从上述代码片段可以看出,1.2.9版本完全移除了对以.groovy结尾的配置文件的处理逻辑。这意味着Logback不再尝试解析或执行Groovy脚本作为其配置。
Logback团队移除Groovy配置支持的主要原因是响应CVE-2021-42550安全漏洞。该漏洞指出,由于Logback的Groovy配置机制过于强大,它可能允许通过精心构造的配置脚本执行任意代码。在某些部署场景中,如果攻击者能够篡改Logback的配置文件,他们就可以利用Groovy的动态性在运行Logback的系统上执行恶意代码,这构成了严重的安全风险。
Logback官方新闻稿(logback.qos.ch/news.html#1.2.9)明确指出:
移除了Groovy配置支持。由于日志记录无处不在,并且使用Groovy进行配置可能过于强大,出于安全原因,此功能不太可能被重新启用。
这意味着Logback项目本身不会重新引入Groovy配置支持。
鉴于Logback官方的立场,建议所有受影响的用户采取以下措施:
最直接且官方推荐的解决方案是将现有的logback.groovy配置迁移到logback.xml。XML配置是Logback长期以来支持且经过充分测试的配置方式,它提供了足够的功能来满足大多数日志需求,并且避免了Groovy配置所带来的安全隐患。
示例:基本的 logback.xml 配置
<configuration>
<!-- 控制台输出 Appender -->
<appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
</encoder>
</appender>
<!-- 文件输出 Appender -->
<appender name="FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
<file>logs/application.log</file>
<rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
<!-- 日志文件按天归档 -->
<fileNamePattern>logs/application.%d{yyyy-MM-dd}.log</fileNamePattern>
<!-- 最多保留30天日志 -->
<maxHistory>30</maxHistory>
</rollingPolicy>
<encoder>
<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
</encoder>
</appender>
<!-- 根日志记录器 -->
<root level="info">
<appender-ref ref="STDOUT" />
<appender-ref ref="FILE" />
</root>
<!-- 特定包的日志级别 -->
<logger name="com.example.myapp" level="debug" additivity="false">
<appender-ref ref="STDOUT" />
</logger>
</configuration>将此文件保存为src/main/resources/logback.xml,Logback在启动时将自动加载它。
如果确实存在无法轻易迁移的复杂Groovy配置,或者有强烈需求继续使用Groovy进行配置,可以考虑使用第三方社区提供的解决方案。例如,virtualdogbert/logback-groovy-config项目旨在重新引入Logback的Groovy配置支持。
集成第三方插件的注意事项:
<dependency>
<groupId>com.github.virtualdogbert</groupId>
<artifactId>logback-groovy-config</artifactId>
<version>...</version> <!-- 使用最新版本 -->
</dependency>Logback 1.2.9+版本移除Groovy配置支持是出于对严重安全漏洞(CVE-2021-42550)的防御。虽然这可能对依赖Groovy配置的项目造成影响,但迁移到XML配置是官方推荐且最安全的解决方案。对于有特殊需求的场景,第三方插件提供了一个可选方案,但必须充分理解并接受其潜在的安全风险。在日志配置方面,安全性应始终是首要考量。
以上就是Logback 1.2.9+ Groovy配置支持移除深度解析与替代方案的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
799
收藏
