maven-default-http-blocker (http://0.0.0.0/)

从 Maven 3.8.1 版本开始，许多开发者在构建项目时可能会遇到一个意想不到的错误，提示无法下载依赖，并指向一个 HTTP 地址。这通常是由于 Maven 引入了一个名为 maven-default-http-blocker 的默认镜像。

本文将深入解析这个新特性背后的原因、它如何工作，并提供完整的解决方案，包括了详细的 settings.xml 路径说明。

1. 为什么会出现这个问题？Maven 的安全加固

这个问题源于 Maven 社区对安全的重视，旨在解决一个重要的安全漏洞 CVE-2021-26291。

• 不安全的 HTTP 链接： HTTP 协议不提供加密，这使得在依赖下载过程中可能发生 中间人攻击 (Man-in-the-Middle, MITM)。攻击者可以在传输过程中篡改依赖，注入恶意代码，给项目带来严重的安全风险。
• POM 的不可变性： Maven Central 上的许多旧项目 POM 文件引用了不安全的 HTTP 仓库。由于这些 POM 文件是不可修改的，Maven 社区选择在客户端层面进行安全加固。

因此，从 Maven 3.8.1 开始，Maven 默认引入了 maven-default-http-blocker 镜像，阻止所有以 http:// 开头的外部仓库访问，将请求重定向到无效的 http://0.0.0.0/ 地址，从而保护用户。

2. 解决方案

2.1 方案一：将 HTTP 仓库升级为 HTTPS (推荐)

这是最安全、最彻底的解决方案，也是 Maven 社区所提倡的最佳实践。

pom.xml 配置示例：

<project>...<repositories><repository><id>my-legacy-repo</id><url>http://my.legacy.repo.com/releases</url></repository><repository><id>my-legacy-repo</id><url>https://my.legacy.repo.com/releases</url></repository></repositories>...
</project>

2.2 方案二：临时禁用默认阻断器 (不安全)

如果您的项目依赖于一个 只支持 HTTP 的遗留仓库，您可以选择禁用这个阻断器。

警告： 这种做法 不安全，仅应作为 临时解决方案。

操作方式：

在 settings.xml 的 <mirrors> 标签内部添加以下配置。

settings.xml 配置示例：

<settings>...<mirrors><mirror><id>aliyunmaven</id><name>阿里云公共仓库</name><url>https://maven.aliyun.com/repository/public</url><mirrorOf>*,!maven-default-http-blocker</mirrorOf></mirror></mirrors>...
</settings>

3. 附录：settings.xml 文件路径详解

理解 settings.xml 的位置至关重要，它通常有两种类型，取决于您使用的环境。

3.1 用户级别 settings.xml (推荐修改)

这是最常见的 settings.xml 文件，它只对当前用户有效，也是 IDEA 等 IDE 默认使用的文件。

• 路径： 位于用户主目录下的 .m2 隐藏文件夹中。
  • Windows： %USERPROFILE%\.m2\settings.xml
  • Linux/macOS： ~/.m2/settings.xml

3.2 全局级别 settings.xml (不推荐修改)

这个文件用于配置 Maven 安装目录下的所有用户，通常由管理员维护。

• 路径： 位于 Maven 安装目录的 conf 文件夹中。
  • 路径： $M2_HOME/conf/settings.xml

3.3 IntelliJ IDEA 与 settings.xml

IntelliJ IDEA 本身没有一个独立的 settings.xml 文件。它提供了一个配置界面，让您选择要使用的文件。默认情况下，IDEA 使用 用户级别 的 settings.xml 文件。

• 配置路径： 您可以在 IDEA 的 File -> Settings -> Build, Execution, Deployment -> Maven 选项中进行检查或修改。

结论： 当您需要修改配置来解决此问题时，请优先修改您用户主目录下的 ~/.m2/settings.xml 文件。