如何关闭maven-default-http-blocker？

最近升级Maven到3.8.1后，mvn编译的时候总是提示拉不到依赖，报错如下：

Could not validate integrity of download from http://0.0.0.0/...

全部报错如下：

[WARNING] Could not validate integrity of download from http://0.0.0.0/com/alibaba/nacos/nacos-client-mse-extension/1.4.2-SNAPSHOT/maven-metadata.xml
org.eclipse.aether.transfer.ChecksumFailureException: Checksum validation failed, expected 

从关键字maven-default-http-blocker可以找到相关资料。

简而言之，如果使用HTTP协议下载依赖，可能会导致中间人攻击。比如，本来想下载一个nacos-client的，结果下载的结果中被插入了恶意代码，然后开发人员运行了一下，黑客就能获得开发人员的计算机控制权了。

所以Maven 3.8.1就禁止了所有HTTP协议的Maven仓库。

详情见Maven 3.8.1的发布日志。

问题是在日常开发中，我们经常会用到公司内部的maven仓库。这些仓库一般都是http协议，Maven 3.8.1禁止了http协议，那么就会导致开头的报错。

于是查了下，可以按照如下方式关闭：

修改全局的settings.xml文件（一般在系统路径下，比如mac就在/usr/local/Cellar/maven/3.8.1/libexec/conf/pom.xml、/usr/local/Cellar/maven/3.8.2/libexec/conf/settings.xml）,删除如下部分即可：

    maven-default-http-blocker
    external:http:*
    Pseudo repository to mirror external repositories initially using HTTP.
    http://0.0.0.0/
    true

然后就可以继续正常使用Maven了。

P.S. 对于外部仓库，还是建议使用HTTPS协议访问，防止出现针对性的中间人攻击。