Java基础、中级、高级、架构面试资料
    你的位置:业余草 > JAVA > Spring 7.0.7 发布,52 个修复、3 个 CVE,新增一个 OPTIONS 预检过滤器 PreFlightRequestFilter

    Spring 7.0.7 发布,52 个修复、3 个 CVE,新增一个 OPTIONS 预检过滤器 PreFlightRequestFilter

    JAVA herman 7浏览
    公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:xttblog2,发送下载链接帮助你免费下载!
    本博客日IP超过2000,PV 3000 左右,急需赞助商。
    极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
    受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
    所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
    视频教程免费领
    【腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云

    上周五晚上,收到了一个订阅消息,显示 Spring 7.0.7 正式发布了,这次发布带来了 52 项改进,还修复了 3 大安全漏洞,同时官方还悄悄的加了一个新的过滤器!

    下面,我就试图对 Spring Framework 7.0.7 的正式发布,以及它的三大安全漏洞修复与 52 项改进进行全解析吧!

    重要发布

    2026 年 4 月 17 日,Spring 官方团队正式官宣发布了Spring Framework 7.0.76.2.18。作为 Spring Framework 7.x 系列的重要维护版本,7.0.7 带来了52 项修复和文档改进。并且,官方还透露了Spring Boot 4.0.6将在这周五晚上发布更新。

    文章配图参见 https://mp.weixin.qq.com/s/PNN8wqzAy4aN301tMGJDRQ

    值得注意的是,Spring Framework 5.3.x6.1.x 的开源支持已正式结束,官方强烈建议用户尽快升级到受支持的版本。

    三大 CVE 安全漏洞修复

    这次更新最值得关注的是修复了 3 个安全漏洞,社区还建议所有生产环境立即进行升级。

    CVE-2026-22740

    这是一个 WebFlux 多部分临时文件 DoS 攻击漏洞。

    攻击者可能通过构造特定的多部分请求,利用临时文件处理机制造成拒绝服务攻击。

    它影响到了使用 Spring WebFlux 处理文件上传的应用,包括一些 Gateway 网关类应用。

    CVE-2026-22741

    CVE-2026-22741 是一个静态资源缓存投毒漏洞。攻击者可能通过操纵静态资源的缓存机制,导致缓存投毒攻击,影响应用的正常运行。

    该漏洞影响范围为,同时使用 Spring MVC 和 WebFlux 静态资源处理的应用。

    CVE-2026-22745

    这个漏洞是一个 Windows 平台静态资源处理 DoS 攻击漏洞。

    在 Windows 平台上,特定的静态资源请求可能导致拒绝服务。

    虽然说,Windows 操作系统的服务器比较少,但也有不少。这也导致该漏洞的影响范围是,部署在 Windows 服务器上的 Spring 应用。

    新特性与性能改进

    接下来,我们看一些新特性方面的改进。

    验证器性能大幅提升

    根据 Issue #36621可知,本次更新后,SpringValidatorAdapterMethodValidationAdapter 的性能得到显著优化,对于大量使用 Bean Validation 的应用,验证环节的处理速度将有明显提升。

    Kotlin 协程 JSON 数组解码支持

    根据另外一个 Issue #36597 可知,KotlinSerializationJsonDecoder 现在支持将 JSON 数组直接解码为 Flux,这对使用 Kotlin 开发响应式应用的同学是个好消息。

    // 现在可以直接将 JSON 数组流式解码为 Flux
val flux = decoder.decode(input, ResolvableType.forType<List<User>>())

    RestClient 测试支持增强

    根据 Issue #36572 的描述可知,本次发布新增了 MockRestServiceServer#createServer 的 RestClient 变体,使得使用新的 RestClient 进行单元测试更加便捷。

    多部分编解码器错误处理改进

    Issue #36563表明,改进了多部分(multipart)编解码器的错误处理机制,提供更清晰的异常信息,便于排查文件上传相关问题。

    新增 PreFlightRequestFilter

    本次更新,最值得关注的一个 Issue 是#36482。它新增的 PreFlightRequestFilter 为 CORS 预检请求处理提供了更灵活的扩展点。

    官方日志将其归类为新特性,说明这是对框架功能的一次主动补充。

    从命名(PreFlight)和 Spring 框架的通用设计模式来看,这个过滤器的主要职责是拦截并处理 HTTP 的 OPTIONS 预检请求(Preflight Request)。

    在 Web 应用中,当浏览器需要发起跨域请求(CORS)或者使用一些非简单请求头时,往往会先发出一个 OPTIONS 请求来探测服务器是否允许后续的真实请求。这个过滤器的引入,通常意味着:

    • 标准化处理:提供一个更规范、更便捷的内置方式来响应这些 OPTIONS 探测请求。
    • 简化配置:开发者可能需要通过自定义代码或额外配置来处理这类请求,现在可以直接使用 PreFlightRequestFilter,减少了样板代码。

    根据发布说明以及 issues 中的描述,代码提交记录可知,这个过滤器属于“工具性质”的增强。

    它不改变核心架构,也不强制开发者使用,属于“你用到时会觉得很方便”的类型。

    对于不需要处理复杂跨域逻辑或者已经在网关层处理了 OPTIONS 请求的项目来说,它可能没什么存在感;但对于需要精细控制 Web 层行为的场景,这个过滤器的加入可以让代码更简洁。

    重点 Bug 修复

    下面还几个重点 bug 修复,非重点的我们直接略过。

    数据绑定与验证

    • Issue #36625:修复了 WebDataBinder 在使用 !_ 前缀时不必要实例化集合的问题,减少内存开销。
    • Issue #36609:解决了高基数 FieldError 默认消息导致的缓存污染问题,提升验证错误处理性能。

    注解处理与反射

    • Issue #36598:修复了 Java 24+ 上 AnnotatedTypeMetadata 不再保留源声明顺序的问题,确保注解处理的一致性。
    • Issue #36577:修复了 JDK 24+ 上 ClassFile 变体的无效方法返回类型元数据问题。

    数据库与连接池

    • Issue #36527LazyConnectionDataSourceProxy 现在可以更好地与 Hibernate 的多租户(按 schema 策略)配合使用。
    • Issue #36528:修复了 LazyConnectionDataSourceProxy 未将 holdability 传递给目标 Connection 的问题。

    Web 与响应式编程

    • Issue #36537:修复了 SseServerResponse 中的刷新相关回归问题,确保 Server-Sent Events 的稳定性。
    • Issue #36492:修复了 RestClientResponseEntity 响应错误关闭流的问题。
    • Issue #36486:修复了在 Tomcat 上使用 WebSocket 握手头时的 IllegalStateException

    Kotlin 支持

    • Issue #36449CoroutineUtils 现在正确处理 Kotlin 可空值类参数,提升了 Kotlin 协程与 Spring 集成的稳定性。

    文档与依赖升级

    依赖版本更新

    • Micrometer 1.16.5:最新的可观测性指标库
    • Reactor 2025.0.5:响应式编程核心库更新

    文档改进亮点

    • 明确了 HttpMethod.valueOf() 的语义(#36652)
    • 记录了 SpEL 表达式中的空白语义(#36628)
    • 澄清了 @ActiveProfiles 忽略 spring.profiles.active 的行为(#36600)
    • 为 Bean Overrides(@MockitoBean 等)引入了 Kotlin 示例(#36541)

    升级建议

    官方建议,涉及以下厂家的,建议立即升级。

    1. 生产环境使用 WebFlux 处理文件上传,本次修复了 CVE-2026-22740
    2. Windows 服务器部署环境,本次修复了 CVE-2026-22745
    3. 大量使用静态资源缓存,本次修复了 CVE-2026-22741
    4. 使用 Java 24+ 或 JDK 25 的应用,本次修复了多个兼容性问题

    由于某些版本已不在支持,对于无法立即升级的用户,Spring 提供了商业版本的修复。

    • Spring Framework 5.3.46 和 6.1.24 商业版本已包含上述安全修复
    • Spring Boot Hotfix 版本 2.7.32.1、3.3.18.1 和 3.4.15.1 已可用

    版本太多,对官方来说也是一种拖累。这也是另一种间接助力大家升级新版本的方式。

    最后

    Spring Framework 7.x 作为新一代框架基线,已全面拥抱Jakarta EE 11Java 21+Kotlin 2.2,并内置了API 版本控制弹性模式@Retryable@ConcurrencyLimit)等现代云原生开发必备特性。

    根据官方的发布日历可知,今晚 Spring 社区还有不少重磅发布。同时,下个月,也就是 5 月份,将迎来 Spring 生态的密集发布月。包括 Spring Cloud 2026、Spring AI 2.0、Spring 7.1.x、Spring Boot 4.1.x 等等。

    业余草公众号

    最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!

    本文原文出处:业余草: » Spring 7.0.7 发布,52 个修复、3 个 CVE,新增一个 OPTIONS 预检过滤器 PreFlightRequestFilter

    相关文章推荐