记一次禁用springboot所有Actuator端点以防止对外暴露任何运行时信息的操作

1、漏扫时发现直接访问http://ip:port/actuator会显示很多信息，如下图所示

2、在Spring Boot应用中，Actuator端点提供了丰富的运行时信息以方便监控和故障排查。然而，这些信息如果被不恰当暴露，可能会造成安全风险，需要在服务的配置文件中添加如下配置：

management:endpoint:health:enabled:false# 禁用健康检查端点info:enabled:false# 禁用信息端点# 其他端点也可以这样逐一禁用...endpoints:web:exposure:include:''# 如上所述，禁用所有web端点暴露jmx:exposure:include:''# 禁用所有JMX端点暴露

3、配置结束后验证时，虽然减少了内容的展示，但仍保留了一条内网的信息，这仍然是非常危险的

4、考虑到web是使用nginx配置的，于是问题就变成了配置访问特定页面时显示404，配置如下

server {
    listen 80;
    server_name example.com;
 
    location /actuator {# 特定条件，例如请求一个不存在的文件if(!-e $request_filename){# 返回404状态码return404;}# 其他配置...}# 通过添加特定的头部信息来阻止Nginx版本信息显示在错误页面上
    error_page 404 @404_custom;
 
    location @404_custom {# 清除Nginx服务器名称
        server_tokens off;# 添加一个空的内容体来避免显示Nginx默认的错误页面内容
        add_header Content-Length 0;
        add_header Content-Type text/plain;return404'Not Found';}}

问题解决