【常见BUG】Spring Boot 和 Springfox（Swagger）版本兼容问题

在开始今天的分享之前，我想先推荐一篇非常精彩的文章。

文章就是《渗透测试文件包含漏洞原理与验证(1)——文件包含概述》🚀🌟🚀🌟🚀🌟

链接是：点击这里。

这篇文章详细解释了文件包含漏洞的原理，以及如何在实际的 Web 应用程序中发现和验证这类漏洞。它提到，文件包含漏洞通常发生在 PHP 等脚本语言中，当开发者在引入文件时没有对文件名进行充分的校验，就可能导致意外的文件泄露或恶意代码注入。

文章还介绍了几种 PHP 中的文件包含函数，包括include()、include_once()、require()和require_once()，以及它们在找不到文件时的不同行为。此外，文章还探讨了利用文件包含漏洞的条件，比如函数通过动态变量引入文件，以及用户能够控制这个动态变量。

通过一些实际的示例，文章展示了如何通过修改文件扩展名来绕过某些安全限制，以及如何通过修改 URL 参数来实现文件包含攻击。

这篇文章不仅提供了丰富的技术细节，还强调了合法合规的重要性。它提醒我们，所有的渗透测试活动都应该在获得明确授权的情况下进行，并且要遵守相关法律法规。

如果你对 Web 安全感兴趣，或者想要提高你的 Web 应用程序的安全性，我强烈推荐你阅读这篇文章。它不仅能够提供实用的技术知识，还能帮助你更好地理解安全领域的法律和道德规范。让我们一起在合法合规的前提下，探索和提升 Web 安全吧！

一.报错信息

org.springframework.context.ApplicationContextException: Failed to start bean ‘documentationPluginsBootstrapper’; nested exception is java.lang.NullPointerException

二.解决方案

根据提供的错误信息和搜索结果，这个问题通常与 Spring Boot 和 Springfox（Swagger）的集成有关。错误提示Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException表明在 Spring Boot 应用启动过程中，documentationPluginsBootstrapper这个 bean 无法正常启动，原因是遇到了空指针异常（NullPointerException）。这通常是由于 Spring Boot 和 Springfox 的版本不兼容导致的路径匹配策略冲突。

在这里插入图片描述

1.修改 Spring MVC 的路径匹配策略

修改 Spring MVC 的路径匹配策略：Springfox 假设 Spring MVC 的路径匹配策略是ant-path-matcher，而 Spring Boot 2.6 及以上版本的默认匹配策略是path-pattern-matcher。您可以通过在application.yml或application.properties配置文件中添加以下配置来解决这个问题：

spring:
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher

这样可以将 Spring MVC 的路径匹配策略更改为ant-path-matcher，以兼容 Springfox 的要求。

2.配置 WebMvcConfigurer

配置 WebMvcConfigurer：您可以通过创建一个配置类并继承WebMvcConfigurationSupport，然后重写addResourceHandlers方法来解决静态资源路径问题：

@Configuration
public class WebMvcConfigurer extends WebMvcConfigurationSupport {
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/**").addResourceLocations(
                "classpath:/static/");
        registry.addResourceHandler("swagger-ui.html", "doc.html").addResourceLocations(
                "classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**").addResourceLocations(
                "classpath:/META-INF/resources/webjars/");
        super.addResourceHandlers(registry);
    }
}

这样可以确保 Swagger 的静态资源能够被正确加载。

3.检查依赖关系

检查依赖关系：确保您的项目中包含了正确的 Spring Boot Actuator 依赖。如果您使用的是 Maven，可以在pom.xml文件中添加以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

这有助于确保documentationPluginsBootstrapper bean 能够正确创建。

4.降低 SpringBoot 版本

<parent>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.5.6</version>
  <relativePath/>
</parent>