У меня странная проблема. В Tomcat 4.0.6, если я вызову стандартное javax.servlet.ServletException (message), в котором сообщение содержит опасный HTML, например предупреждение о нападении XSS (1), оно будет отражено в незашифрованном виде обратно на страницу отчета об исключениях Server 500.
Однако в Tomcat 6.0.37 это же приложение вызывает то же самое javax.servlet.ServletException (Message), сообщение возвращается с закодированными объектами HTML, такими как <>, что безопасно.
Я не могу найти никакой документации по поведению по умолчанию для Tomcat 6 против Tomcat 4. Где это задокументировано или отмечено? Опасно ли предполагать, что не все версии Tomcat будут должным образом очищать поведение пользователей? Ссылка (https://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/ServletException.html)
Кто-нибудь может прояснить, что здесь происходит?