Zmniejszanie ujawniania informacji na stronach błędów serwera Tomcat
Domyślnie strony błędów serwera Tomcat ujawniają zarówno istnienie serwera Tomcat, jak i dokładną wersję kontenera obsługującego żądania. To jest miłe dla rozwoju, ale w kontekście produkcji ta informacja jest potencjalną luką w zabezpieczeniach i dobrze byłoby ją wyłączyć.
Dlatego chciałbym wiedzieć, co jest najlepszym (jak w najbardziej prostym / kompleksowym) rozwiązaniu, aby całkowicie wyeliminować domyślne strony błędów serwera Tomcat. Jestem świadomy tego<error-page>
opcja w pliku web.xml, ale wydaje się, że zawodzi w obu pożądanych obliczeniach, po części dlatego, że musiałbym wymienić tę samą alternatywną stronę błędu wiele razy (po jednym dla każdego kodu odpowiedzi, który chcę obsłużyć), a także dlatego, że to mnie uderza 100% solidny; jeśli atakujący może w jakiś sposób zwrócić kod błędu, który nie został wyraźnie wymieniony, otrzymają domyślną stronę błędu.
Najlepiej byłoby, gdyby prosta była opcja ustawienia uniwersalnej niestandardowej strony błędu lub wyłączenia wyłączania wysyłania dowolnego kodu HTML wraz z kodem błędu na domyślnej stronie błędu. Jeśli żadna z tych opcji nie jest możliwa, chciałbym dowiedzieć się, jaki jest typowy sposób wdrożenia tej funkcji (punkty bonusowe za omówienie / pokazanie, dlaczego te hipotetyczne opcje nie istnieją, ponieważ wydaje się, że moje wymaganie będzie dość standardowe) dla każdego, kto używa Tomcat w produkcji ...).