对于任何错误的XML,默认情况下Jersey-JaxB会抛出以下内容: 方法失败:HTTP / 1.1 400错误请求
我的客户端(REST用户)坚持在XML中提供有关问题的完整信息。
在XML中提供问题的堆栈跟踪是否明智?
答案 0 :(得分:1)
在调试应用程序时,如果它可以帮助您隔离问题并修复它,则可以显示堆栈跟踪。但是,当应用程序到达生产服务器时,应始终禁用错误消息的输出,包括堆栈跟踪。
错误消息和堆栈跟踪通常包含敏感信息。黑客可能会使用此信息来了解环境,软件版本,用户,数据等,这些知识可能使黑客更容易进入系统。
通过错误消息CWE-209进行的无意信息泄露是CWE / SANS评定的软件中最常见的25个弱点之一。