Por padrão, as páginas de erro do Tomcat revelam a existência do Tomcat e a versão exata do contêiner que está manipulando as solicitações. Isso é bom para o desenvolvimento, mas em um contexto de produção, essa informação é uma brecha de segurança em potencial e seria bom desativá-la.

Assim, gostaria de saber qual é a melhor solução (como na mais direta e abrangente) para suprimir completamente as páginas de erro padrão do Tomcat. Estou ciente do<error-page> opção no web.xml, mas parece falhar em ambas as contagens desejadas, em parte porque eu teria que listar a mesma página de erro alternativa muitas vezes (uma para cada código de resposta que eu quero manipular), e porque isso me parece possivelmente não 100% robusto; Se um atacante puder de alguma forma obter um código de erro retornado que eu não tenha explicitamente listado, ele receberá a página de erro padrão.

Idealmente, uma opção simples para definir uma página de erro personalizada universal ou para desabilitar o envio de qualquer HTML junto com o código de erro na página de erro padrão seria melhor. Se nenhuma dessas opções for possível, eu estaria interessado em descobrir qual é a maneira típica de implementar essa funcionalidade (pontos de bônus para discutir / mostrar por que essas opções hipotéticas não existem, já que parece que minha exigência seria bastante padrão para quem usa o Tomcat em produção ...).