如何从WebSphere错误页面中隐藏服务器和端口信息？

作为一个WebSphere管理员，你可能对以下错误页面很熟悉。当主机名/IP在virtual host configuration中不匹配时，会生成此错误页面。

你见过这个错误吗？

它会暴露服务器信息和端口号，这被认为是信息泄露security vulnerability。

有三种可能的解决方法。

通过Web服务器处理自定义错误 – 如果在WebSphere之前使用Web服务器，则可以handle 404 error through a web server并显示一些自定义错误页面。

通过显示自定义错误页面，您隐藏了服务器信息，并在整个应用程序中保持了品牌。

在应用程序内部处理错误页面 – 让开发人员处理WebSphere应用程序代码中的错误页面，并在触发404返回代码时触发自定义错误页面。

通过WAS configuration覆盖错误 – 这是掩盖服务器信息的最快方法，但有一些限制。这允许您以文本格式显示消息，但不允许HTML标记。

如果品牌不是问题，那么您可以考虑这个。让我们来看看配置。此配置在JVM上，所以如果您的应用程序有多个JVM，则需要在所有JVM上执行。

• 登录到WebSphere管理控制台
• 转到Servers >> Server Types >> WebSphere application servers
• 点击您想要覆盖错误的JVM
• 展开“Web Container Settings”，然后点击“Web container”
• 点击Custom properties

• 点击New，然后输入Name：

com.ibm.ws.webcontainer.webgroupvhostnotfound

• 和Value为您想要显示的错误消息。例如：

“对不起，请求的页面未找到。”

• 点击OK

• 审查并保存配置
• 重新启动JVM

现在，让我们尝试访问一些不存在的页面。

好多了，不是吗？

如果您在符合PCI DSS标准或高事务环境中工作，则大多数情况下安全审计团队会要求您解决此问题。

我希望这个小配置能够帮助您隐藏来自错误页面的WebSphere服务器信息。