在我们项目安全测试中,会出现中间件信息泄露,以tomcat为例,如果我们没有配置统一的错误页面,访问不存在的地址时会出现如下图:
这会暴露我们的tomcat版本信息,在安全测试中,这是不允许的,属于严重缺陷,所以,我们要对错误页面进行统一处理
首先我们在tomcat中的conf/web.xml中配置如下信息:
1 <error-page>
2 <error-code>404</error-code>
3 <location>/404/404.html</location>
4 </error-page>
5 <error-page>
6 <error-code>403</error-code>
7 <location>/403/403.html</location>
8 </error-page>
9 <error-page>
10 <error-code>500</error-code>
11 <location>/500/500.html</location>
12 </error-page>
如上,将出错页面统一转发到我们自定义页面上,然后我们将自己的页面放置在webapps/ROOT/目录下就可以了
再次访问,结果如下:
如下,是我给大家准备的三张错误页面的图片
相对应的html页面也很简单,如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>温馨提示</title>
<style>
html,body { width:100%; height:100%; padding:0;margin:0;}
.page403 { display:table; width:100%; height:100%; text-align: center; }
.page403 p { display: table-cell; vertical-align: middle; }
</style>
</head>
<body>
<div class="page403">
<p><img alt="" src="/403/403.png" /></p>
</div>
</body>
</html>
大家可以直接用,以上就是tomcat如何配置自定义错误页面