tomcat安全配置：

1、初始化配置：

（1）关闭服务器端口；如果不改关闭端口或关闭命令，别人会通过端口号和命令关闭服务，出于安全考虑，需要改变端口号或关闭命令。

cmd命令窗口：telnet 127.0.0.1 8005   回车，然后输入SHUTDOWN命令关闭服务

为了安全起见，可以修改关闭的端口号以及关闭命令，如下：

<Server port="8555" shutdown="GOTODIE">

（2）隐藏版本信息；防止黑客针对某一版本进行攻击，需要将版本信息隐藏起来。

版本信息在tocat的lib目录下的catalina.jar里的org.apache.catalina.util里的ServerInfo.properties文件里。

catalina.jar\org\apache\catalina\util\ServerInfo.properties

server.info=Apache Tomcat/8.5.31改为NO VERSION

（3）禁用Tomcat管理页面；防止黑客通过tomcat管理界面对tomcat进行攻击。

方法：将Root文件重命名，重新建一个空的Root文件。

（4）自定义错误页面；在webapps/ROOT目录下，新建一个error.html错误页面，然后配置一下conf/web.xml

（5）AJP端口管理: AJP就是为tomcat与http服务器之间通信而定制的一个协议，能够提供比较高的通信速度和效率。如果前端用的是apach服务器，就会使用到这个AJP连接器。但是如果前端用的是nginx做的反向代理，就可以不使用这个连接器，就需要注释掉这个连接器，步骤如下：

conf/server.xml文件如下:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />注释掉即可。

（6）启用cookie的HttpOnly;

AJP协议

若tomcta前面用nginx反向代理则可以忽略ajp连接器（connector），如若使用的是apache httpd服务器则不能关闭ajp连接器，关闭该连接器只需要注释掉server.xml中对应的节点即可（<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>）