エラーメッセージによる情報漏えい

概要

詳細なエラーメッセージは、スタックトレース、パス、SQL文、サーバーバージョン、内部識別子を漏えいさせる可能性があります。

利用者には一般的なメッセージだけを返し、詳細な診断情報は保護されたサーバー側ログに記録します。

フレームワークやWASのエラーページを設定し、内部例外の詳細をクライアントに表示しないようにします。

try {
    ....
} catch (Exception e) {
    e.printStackTrace();
    return e.getMessage();
}

try {
    ...
} catch (Exception e) {
    System.out.println("ERROR1");
    return "ERROR1";
}