Die Änderung ServerInfo.properties
ist am sichersten. Wenn Sie zum Beispiel eine Webapp auf http://example.com/contextname
bereitgestellt haben, könnte man immer noch eine 404
von http://example.com/blah
oder so erhalten. Man könnte es auch programmatisch erhalten, indem man einen Roboter verwendet, um eine Anfrage mit einer nicht unterstützten Methode zu senden (die die Fehlerseite 503
zurückgibt).
Das gesagt, ich sehe wirklich keine gültigen Gründe, Tomcat-Version davon zu verstecken. Diese Information fügt tatsächlich keinen Wert für "normale Benutzer" hinzu. Es hält auch keinen Hacker davon ab, alles zu versuchen, um es herunterzubekommen oder Sicherheitslücken auszunutzen (falls es welche gab ...). Sie machen sich keine Gedanken darüber, ob die Version angezeigt wird oder nicht. Für die "normalen Benutzer" würde ich immer noch eine benutzerdefinierte Fehlerseite verwenden, die ein bisschen mehr in den Stil der betreffenden Webanwendung integriert ist, so dass sie weniger "gruselig" ist und somit die Benutzererfahrung verbessert.
Duplizieren von http://stackoverflow.com/questions/1520162/reducing-information-disclosure-in- mehr darüber lesen tomcat-error-pages? rq = 1 –