避免Tomcat调试信息泄露的最佳实践

大家好！我是小米，一个热爱分享技术的小伙伴。最近我们团队在进行网站安全扫描时，发现了一个敏感信息泄露的漏洞。经过一番努力，终于解决了这个问题。今天我想在这里分享我们的经历，希望能为大家提供一些参考和帮助。

问题背景

在处理请求过程中，如果服务器遇到运行时错误，Tomcat会向请求者展示调试信息。这些信息对于开发人员来说非常有用，但如果暴露给外部用户，则可能导致敏感信息泄露。根据安全管理要求，我们需要确保这些调试信息不被泄露给请求者。

方案一：使用ErrorAttributes自定义错误信息

首先，我们尝试通过Spring Boot提供的 ErrorAttributes 接口来自定义错误信息。具体实现如下：

这种方式在理论上是可行的，但在我们的项目中却没有效果。经过排查发现，由于项目架构复杂，部分错误并没有通过Spring Boot的错误处理机制，因此这个方案行不通。

方案二：修改 Tomcat 的默认错误页面

接下来，我们考虑直接修改Tomcat的默认错误页面。Tomcat的默认错误页面是通过 webapps/ROOT 目录下的 error.jsp 文件来定义的。