1,关闭shutdown端口或修改shutdown命令
<Server port="8005" shutdown="SHUTDOWN">
2,禁用管理界面
最简单的方式直接删除ROOT或重命名
3,隐藏Tomcat版本号
4,自定义错误界面
web.xml尾添加:
<error-page>
<error-code>400</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/error.html</location>
</error-page>
5,若前端使用Nginx时,注释ajp协议
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>
5,修改cookies
概念:cookie用于保存客户端信息,如购物车缓存信息,黑客常采用xss方式攻击
方式:content.xml 添加属性,对cookie加密
<Context useHttpOnly="true>