有没有办法配置 Jboss/Tomcat 以防止日志文件中出现 j_password (JAAS) 纯文本内容?
(23:03:24,141 DEBUG [org.apache.tomcat.util.http.Parameters] (http-localhost-127.0.0.1-8080-3) 使用输入 [j_username=username&j_password=123easy] 开始处理
这似乎很令人担忧,但即使是服务器管理员也不应该仅仅通过更改级别日志来访问机密信息。
有没有办法配置 Jboss/Tomcat 以防止日志文件中出现 j_password (JAAS) 纯文本内容?
(23:03:24,141 DEBUG [org.apache.tomcat.util.http.Parameters] (http-localhost-127.0.0.1-8080-3) 使用输入 [j_username=username&j_password=123easy] 开始处理
这似乎很令人担忧,但即使是服务器管理员也不应该仅仅通过更改级别日志来访问机密信息。
虽然我可能同意这是 Tomcat 中的一个错误,但其他人可能会认为它是一个有用的调试功能。
为避免启用此输出,您应避免在所有情况下为功能服务器上的根记录器启用调试!以编程方式,这可以根据您的需求来实现:
LogManager.getLogger("com.myCompanyHere").setLevel(DEBUG);
这会启用 DEBUG,但仅限于您控制的类!在属性或 xml 文件中,同样可以通过使用您自己的附加程序并设置级别以避免不受您控制的类来完成。
在 JBoss EAP 6.4 中,您可以在 urn:jboss:domain:logging:1.5 子系统中设置:
<logger category="org.apache.coyote.http11">
<level name="ERROR"/>
</logger>