Standardmäßig wird auf den Fehlerseiten von Tomcat sowohl das Vorhandensein von Tomcat als auch die genaue Version des Containers angezeigt, der die Anforderungen verarbeitet. Das ist gut für die Entwicklung, aber in einem Produktionskontext stellen diese Informationen eine potenzielle Sicherheitslücke dar und es wäre gut, sie zu deaktivieren.

Daher würde ich gerne wissen, was die beste (wie die einfachste / umfassendste) Lösung ist, um die Standardfehlerseiten von Tomcat vollständig zu unterdrücken. Mir ist bewusst, dass<error-page> Option in web.xml, aber es scheint in beiden gewünschten Fällen fehlzuschlagen, zum Teil, weil ich die gleiche alternative Fehlerseite oft auflisten müsste (eine für jeden Antwortcode, den ich behandeln möchte), und weil mir dies als möglicherweise nicht auffällt 100% robust; Wenn ein Angreifer einen Fehlercode erhalten kann, den ich nicht explizit aufgelistet habe, wird die Standardfehlerseite angezeigt.

Idealerweise ist eine einfache Option zum Festlegen einer universellen benutzerdefinierten Fehlerseite oder zum Deaktivieren des Versendens von HTML zusammen mit dem Fehlercode auf der Standardfehlerseite am besten. Wenn keine dieser Optionen möglich ist, würde ich gerne herausfinden, wie diese Funktionalität normalerweise implementiert wird (Bonuspunkte für das Erörtern / Zeigen, warum diese hypothetischen Optionen nicht vorhanden sind, da meine Anforderungen anscheinend recht standardisiert sind) für alle, die Tomcat in der Produktion einsetzen ...).