Отключить все HTTP-сообщения об ошибках HTTP по умолчанию в Tomcat

По умолчанию Tomcat отправляет некоторый HTML-контент обратно клиенту, если он встречает что-то вроде HTTP 404. Я знаю, что через web.xml a <error-page> можно настроить для настройки этого содержимого.

Однако мне бы хотелось, чтобы Tomcat не отправлял ничего с точки зрения содержимого ответа (конечно, мне все равно нужен код состояния). Есть ли способ легко настроить это?

Я пытаюсь избежать A), явно отправляющего пустой контент в потоке ответов из моего Сервлета, и B) настройка пользовательских страниц ошибок для целой группы статусов ошибок HTTP в моем web.xml.

Для некоторого фона я разрабатываю API HTTP и контролирую свой собственный контент ответа. Например, для HTTP 500 я заполняю некоторый XML-контент в ответ, содержащий информацию об ошибке. Для ситуаций, таких как HTTP 404, для HTTP-ответа достаточно HTTP-ответа, а отправление содержимого tomcat не требуется. Если есть другой подход, я открыт для его слушания.

Edit: После продолжения расследования я все еще не могу найти пути решения. Если кто-то может окончательно сказать, что это невозможно, или предоставить ресурс доказательствам того, что он не сработает, я буду принимать это как ответ и попытаться его обойти.

Ответ 1

Если вы не хотите, чтобы tomcat отображал страницу с ошибкой, не используйте sendError (...). Вместо этого используйте setStatus (...).

например. если вы хотите дать ответ 405, то вы делаете

response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);      
response.getWriter().println("The method " + request.getMethod() + 
   " is not supported by this service.");

Также не забудьте выбросить какие-либо Исключения из вашего сервлета. Вместо этого поймайте Исключение и, опять же, установите statusCode самостоятельно.

то есть.

protected void service(HttpServletRequest request,
      HttpServletResponse response) throws IOException {
  try {

    // servlet code here, e.g. super.service(request, response);

  } catch (Exception e) {
    // log the error with a timestamp, show the timestamp to the user
    long now = System.currentTimeMillis();
    log("Exception " + now, e);
    response.setStatus(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
    response.getWriter().println("Guru meditation: " + now);
  }
}

конечно, если вам не нужен какой-либо контент, тогда просто ничего не пишите писателю, просто установите статус.

Ответ 2

Несмотря на то, что это не отвечает именно на инструкцию "не отправлять ничего" по этому вопросу и на волне ответа Клайва Эванса, я узнал, что в tomcat вы можете сделать эти слишком много текстовых текстов ушедшими с страниц ошибок без создания пользовательского ErrorReportValve.

Вы можете выполнить эту настройку ErrorReportValve через 2 параметра "showReport" и "showServerInfo" на вашем "server.xml":

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

Ссылка на официальную документацию.

Работал для меня на tomcat 7.0.55, не работал у меня на tomcat 7.0.47 (я думаю, из-за чего-то, сообщенного по следующей ссылке <а2 > )

Ответ 3

Как сказал Хейкки, установка статуса вместо sendError() заставляет Tomcat не касаться объекта/тела/полезной нагрузки ответа.

Если вы хотите отправлять заголовки ответов без какой-либо сущности, как в моем случае,

response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.setContentLength(0);

делает трюк. Если Content-Length: 0, print() не будет иметь эффекта, даже если он используется, например:

response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.setContentLength(0);
response.getWriter().print("this string will be ignored due to the above line");

клиент получает что-то вроде:

HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=utf-8
Content-Length: 0
Date: Wed, 28 Sep 2011 08:59:49 GMT

Если вы хотите отправить сообщение об ошибке, используйте setContentLength() с длиной сообщения (кроме нуля) или вы можете оставить его на сервере

Ответ 4

Быстрый, слегка грязный, но простой способ остановить Tomcat от отправки какого-либо тела ошибки - вызвать setErrorReportValveClass против хоста tomcat с настраиваемым клапаном отчета об ошибке, который отменяет отчет, чтобы ничего не делать. то есть:

public class SecureErrorReportValve extends ErrorReportValve {

@Override
protected void report(Request request,Response response,Throwable throwable) {
}

}

и установите его с помощью:

  ((StandardHost) tomcat.getHost()).setErrorReportValveClass(yourErrorValveClassName);

Если вы хотите отправить свое сообщение и просто подумайте, что Tomcat не должен возиться с ним, вы хотите что-то вроде:

@Override
protected void report(final Request request, final Response response, final Throwable throwable) {
    String message = response.getMessage();
    if (message != null) {
        try {
            response.getWriter().print(message);
            response.finishResponse();
        } catch (IOException e) {
        }
    }
}

Ответ 5

Несмотря на то, что он совместим с сервлетами, по соображениям безопасности я не хочу, чтобы tomcat или какой-либо другой контейнер Servlet отправляли данные об ошибках. Я тоже немного боролся с этим. После поиска и попытки решение можно суммировать как:

как упоминалось выше, не используйте sendError(), используйте setStatus() вместо
например, например. Spring Использование безопасности sendError() хотя...
напишите Filter, чтобы а. перенаправляет вызовы на sendError() до setStatus()
б. сбрасывает ответ в конце, чтобы предотвратить дальнейшее изменение контейнера ответа

Ниже показан небольшой пример фильтра сервлета.

Ответ 6

Почему бы просто не настроить элемент <error-page> с пустой HTML-страницей?

Ответ 7

Хотя этот вопрос немного стар, я столкнулся с этой проблемой. Прежде всего, поведение Tomcat абсолютно корректно. Это для сервлета. Не следует изменять поведение Tomcat против спецификации. Как упоминалось в Heikki Vesalainen и mrCoder, используйте только setStatus и setStatus.

К кому это может относиться, я поднял билет с Tomcat, чтобы улучшить документы sendError.