Was ist der beste Weg, zu maskieren / verstecken tomcat-version von Fehler-Seiten?
Könnte jemand bitte lassen Sie mich wissen, welche der folgenden beiden Ansätze wird empfohlen und warum :
-
Nehmen Sie die erforderlichen änderungen an
ServerInfo.Eigenschaften -
Definieren "Fehler-Seite" in web.xml
- Duplikat von stackoverflow.com/questions/1520162/...
Du musst angemeldet sein, um einen Kommentar abzugeben.
Die Antworten sind ein bisschen veraltet, also: Wenn Sie tomcat 6 oder neuer (getestet hab ich auf tomcat 7) können Sie die ErrorReportValve um das gleiche zu erreichen in einer Weise, die ist viel einfacher zu konfigurieren und zu verwalten. Fügen Sie einfach die folgenden Zeilen an den Host-Abschnitt Ihrer server.xml (wo sollten Sie bereits das AccessLogValve:
In dieser Weise sind Sie versteckt, die server-info und (wegen der optionalen showReport=false) auch der stack-traces.
Lesen Sie mehr dazu in der Sicherheit, Wie und in der Dokumentation der Fehler Bericht Ventil.
Ich würde die änderungen an ServerInfo.Eigenschaften unabhängig - möglicherweise gibt es andere Orte, um die ServerInfo.Eigenschaften version Informationen als nur Fehler-Seiten. (Vielleicht ist jemand gegangen ist, bis Sie die Standard-Homepage, Proben, etc. und diese können es haben.)
Definieren, Fehler-Seiten in Ihrem web-app, wenn Sie wollen - eine schnellere option sein kann, um Global ändern Ihre Standard-Fehler-Seiten durch die Angabe in CATALINA_HOME/conf/web.xml - dies wird mit Ihrem neuen angegebenen Fehler-Seiten standardmäßig angezeigt, auch wenn ein Entwickler vergisst, geben Sie Fehlerseiten für Ihre app.
Ändern
ServerInfo.properties
ist das sicherste. Wenn Sie zum Beispiel bereitgestellt haben, eine webapp aufhttp://example.com/contextname
könnte man immer noch einen404
durchhttp://example.com/blah
oder so. Man könnte auch programmgesteuert mithilfe eines Roboters zu Senden Sie eine Anfrage mit einem nicht unterstützten Methode (die gibt503
Fehler-Seite).Sagte, ich ehrlich don ' T sehen keine Gründe sich zu verstecken Tomcat-version aus. Diese Informationen tatsächlich fügt keinen Wert für "normale Benutzer". Es ist auch nicht zu stoppen hacker versuchen alles, um es nach unten oder nutzen Sicherheitslücken (wenn es welche gab...). Sie sorgen sich nicht darum, ob die version angezeigt wird oder nicht. Für den "normalen Benutzer" würde ich immer noch verwenden Sie eine benutzerdefinierte Fehlerseite, die ein bisschen mehr integriert im Stil der webapp in Frage, so dass es weniger "gruselig" und verbessert somit die user experience.