有时候用户的攻击是根据网站所使用的服务器来进行了,因为很多服务器都有自己的bug。如果不能对异常进行有效的处理,错误信息会显示在客户端,从错误信息中可以让客户发现服务器的版本信息,这样就为用户的恶意攻击提供了便利条件。
例如,用于输入::8080/ch11/abc.jsp
而abc.jsp是一个不存在的文件,这时候如果不进行处理,会在客户端显示服务器的信息。
如果能够对各种异常进行处理,不让用户看到你所使用技术和服务器,这样客户进行攻击的难度就加大了。
曾经有一个学生作了这样一件事情:使用JSP技术完成了一个网站,然后通过配置之后,客户端访问的时候,使用的文件后缀名都是php,给人的感觉就像是采用php技术编写的网站。