Кодировка вывода Tomcat Apache ServletException
У меня странная проблема. В Tomcat 4.0.6, если я вызываю исключение javax.servlet.ServletException по умолчанию (сообщение), где сообщение содержит опасный HTML-код, такой как предупреждение об атаке XSS (1), оно отражается в незашифрованном виде обратно пользователю на странице отчета об исключениях сервера 500.
Однако в Tomcat 6.0.37 то же приложение вызывает такое же исключение javax.servlet.ServletException (Message), сообщение возвращается с закодированными объектами HTML, такими как '<>', что является безопасным.
Я не могу найти никакой документации о поведении по умолчанию для Tomcat 6 и Tomcat 4. Где это задокументировано или отмечено? Опасно ли предполагать, что не все версии Tomcat будут правильно дезинфицировать поведение пользователей? Ссылка (https://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/ServletException.html)
Кто-нибудь может прояснить, что здесь происходит?
Вам действительно не следует больше использовать такую старую версию Tomcat из-за угроз безопасности! Актуальные версии (сегодня) - 7.x, 8.x и 9.x.