大家好！我是小米，一个热爱分享技术的小伙伴。最近我们团队在进行网站安全扫描时，发现了一个敏感信息泄露的漏洞。经过一番努力，终于解决了这个问题。今天我想在这里分享我们的经历，希望能为大家提供一些参考和帮助。

在处理请求过程中，如果服务器遇到运行时错误，Tomcat会向请求者展示调试信息。这些信息对于开发人员来说非常有用，但如果暴露给外部用户，则可能导致敏感信息泄露。根据安全管理要求，我们需要确保这些调试信息不被泄露给请求者。

首先，我们尝试通过Spring Boot提供的ErrorAttributes接口来自定义错误信息。具体实现如下：

这种方式在理论上是可行的，但在我们的项目中却没有效果。经过排查发现，由于项目架构复杂，部分错误并没有通过Spring Boot的错误处理机制，因此这个方案行不通。

接下来，我们考虑直接修改Tomcat的默认错误页面。Tomcat的默认错误页面是通过webapps/ROOT目录下的error.jsp文件来定义的。

尽管这个方法可以解决问题，但它需要修改Tomcat的源码，维护起来比较麻烦。而且这种方式不够优雅，不符合我们的最佳实践，因此我们放弃了这个方案。

我们还尝试通过Spring Boot的配置文件来禁用错误信息，具体配置如下：

然而，这种方式在我们的项目中同样没有效果。进一步调研发现，这个配置项只对Spring Boot自带的Whitelabel Error Page有效，对其他类型的错误无效。

最后，我们决定通过自定义错误页面来解决这个问题。具体实现如下：

1.在项目的resources/templates目录下创建自定义的错误页面error.html：

2.在application.yml中配置自定义的错误页面路径：

3.创建一个错误处理控制器：

通过这种方式，我们成功实现了自定义错误页面，解决了敏感信息泄露的问题。

在处理网站安全问题时，敏感信息泄露是一个需要特别注意的方面。我们的经验表明，通过自定义错误页面，可以有效地避免将调试信息暴露给请求者。在解决这个问题的过程中，我们尝试了多种方案，最终选择了自定义错误页面的方式。

希望我们的经验能对大家有所帮助！如果你们在实际工作中也遇到类似的问题，可以参考我们的解决方案。当然，每个项目的情况都不尽相同，大家也可以根据自己的需求进行调整和优化。

感谢大家的阅读，欢迎在评论区分享你们的经验和心得！

祝大家工作顺利，生活愉快！