Tomcatのアプリケーション情報を隠す

Question

私はTomcatにWebプロジェクトを展開しています。
セキュリティツールのテストを含むさまざまなテストを実行しました。
試験の1つに、OPTIONSを使用すると、アプリケーションURLあたりの許容可能なHTTP要求を検出できることが報告されています。
私の質問はどうすればこの機能を無効にできますか？
なぜこのようなことが起こるのか分かりません。サーブレットはPOSTを実装しますが、残りのメソッドは実装しません。
このプログラミング上の問題はありますか？たとえば、doOptionsをオーバーライドする必要がありますか、Tomcatインスタンスで何かを設定してそれを取り除くことはできますか？

おかげ

Answer 1

私は最善の解決策が硬化リバースプロキシの背後にTomcatを非表示にすることだと思います。 セキュリティプロキシ経由でHTTPトラフィック全体を渡すことができます。攻撃の試みを検出してブロックすることができます。アクセス制御を行い、SSLを終了することができます。例えば、WebSphere DataPowerまたはWebSEALをそのようなプロキシーとして使用することができます。この目的でApache HTTP Serverを使用することもできます。