关于安全扫描提示隐藏Tomcat版本号和错误信息

     一.说明

本文档为java cms应对安全扫描报告对Tomcat的隐藏信息问题。

 

 

二.细节

   1．报告解析

            众所周知JTopCMS系统对安全防护高度重视，能顺利通过等保审查，但有些用户安全扫描报告中存在对部署容器，特别是 Tomcat某                    些版本需要隐藏错误信息和版本号的问题，如下：

2．处理方法

以上图片展示的错误信息出现时，访问请求并没有到达 CMS软件，为tomcat容器自身拦截（其他java容器同理），故无法通过CMS中配置错误页面引导解决。需要在容器配置文件中设置不输出详细信息和版本号，tomcat可在conf/server.xml 的<Host>元素中添加如下配置：

                       <Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />