По умолчанию страницы ошибок Tomcat раскрывают как наличие Tomcat, так и точную версию контейнера, который обрабатывает запросы. Это хорошо для разработки, но в производственном контексте эта информация является потенциальной дырой в безопасности, и было бы неплохо ее отключить.
Таким образом, я хотел бы знать, какое лучшее (как в большинстве простых/всеобъемлющих) решение - полностью подавить страницы ошибки по умолчанию Tomcat. Я знаю параметр <error-page>
в web.xml, но он, кажется, терпит неудачу в обоих желаемых подсчетах, отчасти потому, что мне пришлось бы перечислить одну и ту же страницу альтернативной ошибки много раз (по одному для каждого кода ответа, который я хочу обработать) и потому что это поражает меня, возможно, не на 100% надежным; если злоумышленник может каким-то образом вернуть код ошибки, который я явно не указал, он получит страницу с ошибкой по умолчанию.
В идеале, простой вариант установки универсальной страницы пользовательских ошибок или для отказа от отправки любой HTML вместе с кодом ошибки на странице ошибок по умолчанию будет лучше. Если ни один из этих вариантов невозможен, мне было бы интересно узнать, какой типичный способ реализовать эту функциональность (бонусные баллы за обсуждение/показ того, почему эти гипотетические варианты не существуют, поскольку, похоже, мое требование будет вполне стандартным для тех, кто использует Tomcat в производстве...).