Tomcatエラーページの情報開示を減らす

Question

デフォルトでは、Tomcatのエラーページには、Tomcatの存在と要求を処理するコンテナの正確なバージョンの両方が示されます。これは開発にとってはいいですが、プロダクションのコンテキストでは、この情報は潜在的なセキュリティホールであり、無効にするとよいでしょう。

このように、Tomcatのデフォルトのエラーページを完全に抑制するためには、（最も単純で包括的なように）ベストなソリューションが何であるか知りたいと思います。私は<error-page>オプションをweb.xmlで認識していますが、同じ代替エラーページを何度も（処理したいそれぞれの応答コードごとに）リストしなければならないことと、これはおそらく100％堅牢ではないとして私を襲う;攻撃者が明示的にリストされていないエラーコードを返すと、デフォルトのエラーページが表示されます。

ユニバーサルカスタムエラーページを設定する単純なオプション、またはデフォルトのエラーページにエラーコードと共にHTMLを送信しないようにフラットアウトするのが理想的です。これらのオプションのどちらも可能でない場合、私はこの機能を実装する典型的な方法が何であるかを知ることに興味があります（私の要件はかなり標準的に見えるので、これらの仮定オプションが存在しない理由Tomcatをプロダクションで使っている人のために...）。

Answer 1

<error-page>は正解ですが、すべてのエラーコードを一般的なメッセージにリダイレクトする必要はありません。どのように各エラーを処理するかについて考える必要があります。あなたがコードの1つを見逃す恐れがある場合は、HttpServletResponse interfaceの定数をチェックしてください。

Answer 2

可能なオプションは、あなたが望む正確ページにエラーページをリダイレクトすることができサーブレットフィルタを設定することです...あなただけのコードが一度これをだろう、そしてそれはすべてのエラーコードのために働くだろう。..

Answer 3

エラーのいくつかは直接コンテナによって送信され、アプリケーションは対処する機会がありません。たとえば、存在しないリソースが要求されると、404エラーが送信されます。アプリケーションで何かできることができる唯一の方法は、web.xmlに適切な<error-page>という項目を宣言することです。

私はJeremy Steinと<error-page>が正しい答えであることに同意します。結局のところ、エラーコードは無制限ではありません。

また、Spring MVCでエラーを処理する方法については、hereの説明も読んでください。私は、あなた自身のエラーを処理することが最も重要であると信じています（もしそれらが捕まえられなければ500の内部サーバーエラーになるという例外）。

Answer 4

私は<エラーページ>しかし、私は2ポイントを追加したいのですが、答えであることを、ジェレミー・スタインに同意：

1. あなたはCATALINA_HOMEで<エラー・ページ>エントリを置く必要があります/conf/web.xmlファイル、アプリケーションのweb.xmlファイルに加えて、ハッカーが既定でインストールされた 'manager'、 'tomcat'、 'examples'などの他のWebアプリケーションでURLにアクセスしようとする場合に使用します。

2. サーバーを保護したい場合は、車に乗るほどシンプルではありませんこれらのエラーページのe。 - ちょうどあなたのサーバーのホストセクションに次の行を追加します

https://www.owasp.org/index.php/Securing_tomcat

Answer 5

これを行うための最も簡単で包括的な方法ErrorReportValveを使用している：このリンクはあなたがする必要があるもののリストを持っています.xmlファイル（すでにAccessLogValve持っている必要があります：あなたは、スタックトレースも）ので偽オプションshowReport =の（サーバーの情報を隠しており、このように

​​

を

。

詳細については、Security How ToおよびError Report Valveのドキュメントを参照してください。