Сокращение раскрытия информации на страницах ошибок Tomcat
По умолчанию страницы ошибок Tomcat раскрывают как существование Tomcat, так и точную версию контейнера, который обрабатывает запросы. Это хорошо для разработки, но в производственном контексте эта информация является потенциальной дырой в безопасности, и было бы неплохо ее отключить.
Таким образом, я хотел бы знать, что лучшее (как и в наиболее простом / всеобъемлющем) решении - полностью подавить страницы ошибок Tomcat по умолчанию. Я знаю о<error-page>
опция в web.xml, но, похоже, она не работает с обоими желаемыми значениями, отчасти потому, что мне пришлось бы перечислять одну и ту же страницу альтернативной ошибки много раз (по одной для каждого кода ответа, которую я хочу обработать), а также потому, что мне кажется, что это не так 100% надежный; если злоумышленник может каким-то образом получить код ошибки, который я не указал явно, он получит страницу с ошибкой по умолчанию.
В идеале было бы лучше использовать простую опцию для установки универсальной пользовательской страницы ошибок или для полного запрета отправки любого HTML-кода вместе с кодом ошибки на странице ошибок по умолчанию. Если ни один из этих вариантов невозможен, мне было бы интересно узнать, каков типичный способ реализации этой функциональности (бонусные баллы за обсуждение / демонстрацию того, почему эти гипотетические варианты не существуют, так как кажется, что мое требование будет вполне стандартным). для тех, кто использует Tomcat в производстве ...).