De forma predeterminada, las páginas de error de Tomcat revelan tanto la existencia de Tomcat como la versión exacta del contenedor que maneja las solicitudes. Esto es bueno para el desarrollo, pero en un contexto de producción esta información es un posible agujero de seguridad y sería bueno desactivarlo.

Por lo tanto, me gustaría saber cuál es la mejor solución (como en la más sencilla / completa) para eliminar completamente las páginas de error predeterminadas de Tomcat. Soy consciente de la<error-page> Opción en web.xml, pero parece fallar en los dos conteos deseados, en parte porque tendría que enumerar la misma página de error alternativa muchas veces (una para cada código de respuesta que quiero manejar), y porque me parece que posiblemente no 100% robusto; si un atacante puede obtener de alguna manera un código de error que no he enumerado explícitamente, obtendrían la página de error predeterminada.

Lo ideal sería una opción simple para establecer una página de error personalizada universal o deshabilitar completamente el envío de cualquier código HTML junto con el código de error en la página de error predeterminada. Si ninguna de esas opciones es posible, me interesaría averiguar cuál es la forma típica de implementar esta funcionalidad (puntos adicionales por discutir / mostrar por qué no existen esas opciones hipotéticas, ya que parece que mi requisito sería bastante estándar) para cualquiera que use Tomcat en producción ...).