6、Web应用程序中的安全向量 -- customErrors(适当的错误报告和堆栈跟踪)

时间:2021-10-16 16:45:47

  几乎所有的网站在开发过程中都在web.config文件中设置了特性<customErrors mode="off">。

  customErrors模式有3个可选的设置项:

    on:服务器开发的最安全选项,因为它总是隐藏错误提示信息。

    RemoteOnly:向大多数用户展示一般的错误提示信息,但向拥有服务器访问权限的用户展示完整的错误提示信息。

    Off:最容易受到攻击的选项,它向访问网站的每个用户展示详细的信息。详细的错误信息可能会暴露应用程序的内部结构。

  设置customErrors参数:   

<system.web>
<customErrors defaultRedirect="GenericError.htm" mode="RemoteOnly" xdt:Transform="Replace">
<error statusCode="500" redirect="InternalError.htm"/>
</customErrors>
</system.web>

  其中可以指定默认的错误页面,也可以针对特定的错误指定错误页面。