默认情况下,Tomcat的错误页面会显示Tomcat的存在以及处理请求的容器的确切版本.这对于开发很有用,但在生产环境中,这些信息是一个潜在的安全漏洞,禁用它会很不错.
因此,我想知道最好的(如最直接/最全面的)解决方案是完全抑制Tomcat的默认错误页面.我知道<error-page>web.xml 中的选项,但它似乎在两个所需的计数上都失败了,部分是因为我必须多次列出相同的备用错误页面(每个响应代码我想要处理一个),并且因为这个打击我可能不是100%健壮; 如果攻击者能够以某种方式获得我没有明确列出的错误代码,他们将获得默认的错误页面.
理想情况下,设置通用自定义错误页面或者在默认错误页面中禁用发送任何HTML以及错误代码的简单选项将是最佳选择.如果这些选项都不可能,我有兴趣了解实现此功能的典型方法是什么(讨论/显示为什么不存在这些假设选项的奖励点,因为看起来我的要求是非常标准的对于在生产中使用Tomcat的任何人......).