maven指定版本依赖，使用exclusion

场景：项目中安全检测软件检测出tomcat-embed-websocket-9.0.33版本存在漏洞，要求更新到9.0.41以上。首先可以使用插件来查看那个包依赖了tomcat-embed-websocket，那么这些包都需要exclusion掉该依赖，然后使用指定版本的依赖。其次， 使用指定版本的依赖必须要放在该包之前，否则无效，即如果把指定版本的依赖放在该包之后，则无效。

查看POM包依赖可以在pom文件右击，使用diagrams来查看dependencies。但是社区版是没有的，可以自己再百度下。

如下所示，spring-boot-starter-web包中依赖了tomcat-embed-websocket。可以将其替换为9.0.41版本

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>webdemo1</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <maven.compiler.source>16</maven.compiler.source>
        <maven.compiler.target>16</maven.compiler.target>
    </properties>

    <dependencies>
        <!--必须要放在排除tomcat-embed-websocket依赖之前，否则
        spring-boot-starter-web还是会自动下载9.0.33版本的
        tomcat-embed-websocket-->
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>9.0.41</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.2.6.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
</project>