减少Tomcat错误页面中的信息泄露
默认情况下,Tomcat的错误页面会同时显示Tomcat的存在情况和处理请求的容器的确切版本。这对开发很有用,但是在生产环境中,此信息是潜在的安全漏洞,最好禁用它。
因此,我想知道什么是最好的解决方案(如最直接/最全面的解决方案)是完全消除Tomcat的默认错误页面。我知道<error-page>web.html" target="_blank">xml
中的选项,但是似乎在两个期望的计数上都失败了,部分原因是我必须多次列出同一替代错误页面(每个我要处理的响应代码一个),并且因为让我觉得可能不是100%健壮;如果攻击者能够以某种方式获得我未明确列出的错误代码,则他们将获得默认错误页面。
理想情况下,最好使用一个简单的选项来设置通用的自定义错误页面,或者完全禁止在默认错误页面中发送任何HTML和错误代码。如果这两个选项都不可行,那么我很想了解实现此功能的典型方式是什么(讨论/显示为什么这些假设选项不存在的要点,因为看来我的要求很标准)适用于在生产中使用Tomcat的任何人…)。
问题答案:
<error- page>是正确的答案,但您不想仅将所有错误代码重定向到某个通用消息。您必须考虑如何处理每个错误。如果您担心自己可能会错过其中一个代码,请查看HttpServletResponse接口中的常量。
-
我收到了IIS 10, ColdFusion 2018服务器的漏洞,如下所示: 漏洞描述: 服务器在404服务器响应中暴露了技术版本。 如果您尝试访问一个不存在的页面,服务器会以正常的404页面进行响应。但是如果您发送了一个无效的路径(理论上它会以400个错误的响应进行响应),服务器会以相同的版本404页面进行响应,但会使用Tomcat ISAPI重定向器版本。 此服务器- 在服务器横幅中不显示版
-
验证规则的错误提示信息有三种方式可以定义,如下: 使用默认的错误提示信息 如果没有定义任何的验证提示信息,系统会显示默认的错误信息,例如: namespace app\index\validate; use think\Validate; class User extends Validate { protected $rule = [ 'name' => 'requir
-
本节列出了SQLAlchemy引发或发出的常见错误消息和警告的描述和背景。 sqlAlchemy通常会在特定于sqlAlchemy的异常类的上下文中引发错误。有关这些类的详细信息,请参见 核心异常 和 ORM例外 . SQLAlchemy错误大致可以分为两类,即 programming-time error 以及 运行时错误 . 由于使用不正确的参数调用函数或方法,或从其他面向配置的方法(如无法解
-
伙计们,我正在努力解决在Windows环境中的Tomcat中打开我的自定义错误页面的问题。我得到了一些解决方案,但没有运气。我尝试了几乎所有的链接,但它不适合我。其中一些适用于在Tomcat中部署的其他解决方案,但不适用于我的Web服务 我的网络.xml < br >我正在从我的Servlet 3.0应用程序< code > response . send error(http Servlet r
-
当tomcat遇到不同的错误,如403、404、405等时,我想显示一个(自定义)网页。我已经尝试了以下解决方案。 我已粘贴了自定义错误。html在webapps文件夹中的prweb文件夹中,并将下面的代码粘贴到web中。xml 输出:Tomcat没有启动我的应用程序,直接显示404错误页面。 我已粘贴了自定义错误。html在webapps文件夹的WEB-INF文件夹中,并将下面的代码粘贴到WEB
-
我想在EditText下面显示错误消息。所以,我遵循了这个答案。 这就是我的风格: 这是我的代码:
-
我正在开发一个使用ApacheTomcat8.0.11Web服务器的java spring mvc项目。我想定制400(错误请求)和404(未找到)错误页面。换句话说,我想显示自定义错误页面,而不是普通的tomcat错误页面。有没有办法在Spring安全中做到这一点?请注意,我使用的是基于java的配置,而不是基于xml的配置。事实上,我想定制这个页面:
-
本文向大家介绍如何利用JSHint减少JavaScript的错误,包括了如何利用JSHint减少JavaScript的错误的使用技巧和注意事项,需要的朋友参考一下 前言 JSHint用于分析和验证JavaScript代码是否符合您的编码规则。这个强大的工具可以帮助发现您代码中错误和问题T,它强制你的团队保持一定的编码惯例和风格,使得代码可靠和更容易阅读. 在这篇文章中,我将向您展示如何安装、配置和