如何写安全的Java Web应用之输入校验（一）：不要在输出中包含Debug信息

在写程序的过程中，免不了有调试环节。除了使用Debug工具，很多开发人员都习惯在代码中写一些输出语句，以便找到问题所在。其实，在输出中包含Debug信息，有很多弊端，本文将通过简单例子，阐述为什么不应该在输出中包含Debug信息，以及如何解决这个问题。
因为Debug信息可能包含很多敏感信息，入调用栈、源代码片断等。所以，即使在开发期间Debug信息比较有用，但是在应用部署后，也要尽量避免向客户端泄漏包含内部异常的数据。
Debuy信息的目的往往是识别或检测出应用的潜在问题。可是使用如下手段，保证Debug信息没有被提交到客户端。
1. 通过日志机制，收集Debug信息。使用日志机制，替代通过HTTP响应传递Debug信息到客户端。参考日志安全操作指南，来确定哪些消息应该被记录到日志中，哪些应该被忽略
2. 使用正确的异常处理。有两种方法可以处理异常，使得应用能优雅退出，并且能对客户端隐藏Debug信息和源代码。
1) 动态处理：这种方式允许在Java代码中处理异常。由try/catch/finally语句块组成。使用动态处理允许你的应用能够将错误记录到日志中，并且将错误信息提示给用户，同时不暴露有关异常的详细信息。
2）JSP错误页面：JSP错误页面提供一种有效的方式提醒用户应用出错了。错误页面的位置在web.xml中使用<location>标记来指定。对特定的异常类型，创建错误页面，不仅能保护敏感数据不被暴露给客户端，同时还能提高用户体验。针对某一个特定用户而不是开发员，设计错误页面，是非常有效的，不会包含黑客所需要的信息。
如：<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/NPEerror.html</location>
</error-page>