（渗透测试）Spring Boot内置Tomcat屏蔽错误异常信息

作者：System 时间：2024年09月04日分类：所有,java 字数：1532

在Spring Boot应用中，如果想要屏蔽Tomcat的错误异常信息，可以通过以下方式实现：

在application.properties或application.yml配置文件中设置日志级别：




# application.properties
logging.level.org.apache.catalina.startup.DigesterFactory=ERROR
logging.level.org.apache.jasper.compiler=ERROR
logging.level.org.apache.catalina.core.ContainerBase.addChild=ERROR
logging.level.org.apache.catalina.core.StandardContext=ERROR

或者使用YAML格式：




# application.yml
logging:
  level:
    org:
      apache:
        catalina:
          startup:
            DigesterFactory: ERROR
        jasper:
          compiler: ERROR
        catalina:
          core:
            ContainerBase:
              addChild: ERROR
            StandardContext: ERROR

通过实现ErrorPageRegistrar接口，注册自定义的错误页面，从而不通过Tomcat默认的异常报告页面：




import org.springframework.boot.web.server.ErrorPageRegistrar;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
 
import javax.servlet.http.HttpServletRequest;
 
@Component
public class CustomErrorPageRegistrar implements ErrorPageRegistrar {
 
    @Override
    public void registerErrorPages(ErrorPageRegistry registry) {
        ErrorPage errorPage = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error");
        registry.addErrorPages(errorPage);
    }
}

在这个例子中，所有的错误将会被导向到/error这个路径，你需要在你的控制器中定义这个路径的映射，以便在发生错误时提供一个友好的消息而不是详细的异常栈信息。

请注意，屏蔽错误信息可能会降低问题排查的效率，通常建议仅在生产环境中这么做，并尽可能通过其他方式（比如监控工具）来监控应用的运行状况。

（渗透测试）Spring Boot内置Tomcat屏蔽错误异常信息

评论已关闭

推荐阅读