2. 程式人生 > >[Asp.net]web.config customErrors 如何設置?

[Asp.net]web.config customErrors 如何設置?

阿新 發佈:2018-02-12
mpi 堆棧 顯示 數據表 意思 send ring 安全 傳遞

摘要

customErrors也經常在開發部署中看到<customErrors mode="Off" />,設置這樣可以在頁面上看到詳細的錯誤信息。但也為黑客提供了攻擊的線索。

customErrors

該節點有三種可選的設置項

  1. On:服務器開發的最安全選項,因為它總是隱藏錯誤提示信息。
  2. RemoteOnly:向大多數用戶展示一般的錯誤信息,但向擁有服務器訪問權限的用戶展示完整的錯誤提示信息。換句話說,僅向遠程客戶端端顯示自定義錯誤,並向本地主機顯示 ASP.NET 錯誤。默認值。
  3. Off:最容易受到攻擊的選項,它向訪問網站的每個用戶展示詳細的錯誤提示消息。

詳細的錯誤信息可能會暴露應用程序的內部結構,比如如果寫的sql語句中報錯,可能會暴露數據表,以及sql語句,這是非常不安全的。在Off設置下的網站,黑客會不斷的嘗試,傳遞不同的參數,使你的網站出錯,然後暴露你的應用程序的內部結構。

mode=Off

比如:

 <system.web>
    <authentication mode="None" />
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
    <customErrors mode="Off" defaultRedirect="error">
    </customErrors>
  </system.web>

在TestAction中直接拋出一個異常,那麽我們可以看到與下面類似的黃頁

技術分享圖片

在黃頁上面可以看到,頁面對應邏輯的堆棧信息,進而暴露項目結構信息。非常的不安全。

那麽如果是mode=Off,並且在事件Application_Error中記錄並清除錯誤,會看到什麽結果?

  protected void Application_Error(object sender, EventArgs e)
        {
            var context = HttpContext.Current;
            if (context != null)
            {

                Exception objErr 
 
= context.Server.GetLastError();
                if (objErr != null)
                {
                    string err = "Error Caught in Application_Error event/n" + "Error in:" 
+ Request.Url.ToString() + "/nError Message:" + objErr.Message.ToString() +
              "/nStack Trace:" + objErr.StackTrace.ToString();
               、、、、、日誌邏輯
                    Server.ClearError(); 
                }
            }
        }
 <customErrors mode="Off" defaultRedirect="Error">     
 </customErrors>

defaultRedirect 指定發生錯誤時瀏覽器指向的默認 URL。如果沒有指定 defaultRedirect,則會顯示一般性錯誤。URL 既可以是絕對的(例如 http://www.***.com/ErrorPage.htm),也可以是相對的。相對 URL(如 /ErrorPage.htm)是相對於指定 defaultRedirect 的 Web.config 文件而言的,而不是針對產生錯誤的網頁。以波形符 (~) 開頭的 URL(如 ~/ErrorPage.htm)表示所指定的 URL 是相對於應用程序根路徑而言的。

通過上面的操作,如果設置Off,並且在Application_Error事件中捕獲異常,並 Server.ClearError(),那麽如果報錯,在前端頁面就會看到空白的頁面。

技術分享圖片

通過這個也可以說明,如果應用程序出錯,先觸發的Application_Error事件,ClearError之後,那麽在頁面上就看不到結果了。

mode=On

在設置On模式情況下,如果應用程序發生錯誤,會跳轉到自定義的錯誤頁,這裏使用了defaultRedirect屬性,並沒有配置 <error statusCode="500" redirect="error"/>

技術分享圖片

mode=RemoteOnly

通過字面意思,僅僅遠程,僅僅遠程什麽呢?可以看下例子。目前所在編碼環境,通過vs調試狀態,相對遠程要訪問的用戶,可以將本機當做服務器。那麽這就是本地,遠程訪問的瀏覽器就是Remote。

技術分享圖片

可以看到,在服務器端,訪問仍然能看到黃頁,也就是上面所說的ASP.NET錯誤。那麽我們將站點部署在服務器,然後在本地訪問會出現什麽情況呢?

技術分享圖片

通過客戶端訪問服務器的url,則會跳轉到默認的自定義錯誤頁面。那麽在服務器端又是什麽情況呢?

技術分享圖片

說明: 僅向遠程客戶端端顯示自定義錯誤,並向本地主機顯示 ASP.NET 錯誤

總結

所以,不要在生產環境中將customErrors關閉。 推薦開啟RemoteOnly或者On並定義自定義的錯誤頁面。

[Asp.net]web.config customErrors 如何設置?

相關推薦

[Asp.net]web.config customErrors 如何

mpi 堆棧 顯示 數據表 意思 send ring 安全 傳遞 摘要 customErrors也經常在開發部署中看到<customErrors mode="Off" />,設置這樣可以在頁面上看到詳細的錯誤信息。但也為黑客提供了攻擊的線索。 customE

[ASP.net]web.configcustomErrors與httpErrors的區別

不存在 ont 靜態 lock host found sta 指向 block 之前一直知道設置web.config(其實就是xml文件)的customErrors的error來指向自定義的錯誤頁的URL,但是今天在調試的時候發現customErrors無法跳轉到自定義的頁

asp.net[web.config] httphandlers 與實現自由定義訪問地址

是什麽 test too gif cti lin 文件 我們 簡單的 http://www.cnblogs.com/PiaoMiaoGongZi/p/5216089.html 今天一起來看一個簡單的例子,主要是用來實現一個映射功能,我們一般訪問一個網址的時候比如是這樣的h

ASP.Net Web.config中引用外部config文件

pset lin AD 配置 utf tostring pan OS add Web.config file: <?xml version="1.0" encoding="utf-8"?><configuration><appSettings

【轉】Encrypt ConnectionString in Web.Config 【加密ASP.NET web.config數據庫鏈接字串】

note attribute translate sting ons cit eem different con 原文鏈接:https://www.codeproject.com/Tips/795135/Encrypt-ConnectionString-in-Web-Con

ASP.NET web application中的redirect

services append 窗口 eve redirect 系統 permanent lac tran 在開發ASP.NET MVC web application過程中,開發上線了新系統後,需要把老系統的url redirect新系統下 其中在項目系統目錄下有一個文件

Asp.net Web Api 解決跨域問題

asp oss ros ner div exec space out color using System; using System.Collections.Generic; using System.Linq; using System.Web; using Syst

[ASP.NET Web API]如何Host定義在獨立程序集中的Controller

eps 運行 icon tel conf clu XML dom tex 通過《 ASP.NET Web API的Controller是如何被創建的?》的介紹我們知道默認ASP.NET Web API在Self Host寄宿模式下用於解析程序集的AssembliesRes

How ASP.NET Web API 2.0 Works?[持續更新中…]

throws case rep 生命 indexof http face auto 攔截 一、概述 RESTful Web API [Web標準篇]RESTful Web API [設計篇] 在一個空ASP.NET Web項目上創建一個ASP.NET Web API 2.

ASP.NET Web Application中使用鏈接文件

快速 構建 remove linked link lsp rep 增加 是我 最近重構一個內部的平臺系統,作為一個平臺,其下有幾個子系統,每個子系統有自己的網站系統。而每個網站使用的是統一的風格,統一的驗證機制,反饋系統,等等。所以,為了避免幾個子系統中重復出現相同的資源或

[轉]ASP.NET web API 2 OData enhancements

{0} per yourself res demon services host iss ges 本文轉自:https://www.pluralsight.com/blog/tutorials/asp-net-web-api-2-odata-enhancements Al

asp.net web 通過IHttpAsyncHandler接口進行消息推送

authent div reg ret back sig sts content validate 1.創建Comet_by_ASP.NET web項目 2.handler類和result類 namespace Handle { /// <summary&g

探秘如何操作 ASP.NET Web API (三)

asp ajax請求 log pic margin div 判斷 out turn 經過我三篇文章的解惑,webapi我相信大家沒有問題了! 先創建了一個UserModel public class UserModel { public string UserI

(四)Asp.net web api中的坑-【api的返回值】

技術分享 要求 data 都是 blog pan odi handle 自己 void無返回值 IHttpActionResult HttpResponseMessage 自定義類型 我這裏並不想贅述這些返回類型, 可以參考博文http://blog.csdn.net/

Web API系列教程】1.1 — ASP.NET Web API入門

表示 return param 全部 products cap asp.net control toys 前言 HTTP不僅僅服務於web頁面。同一時候也是構建暴露服務和數據的API的強大平臺。HTTP有著簡單、靈活和無處不在的特點。你能想到的差點兒全

ASP.NET Web API技術開發HTTP接口(一)

ble 身份驗證 刪除 發現 bapi try prot 好用 get 開發工具 Visual Studio 2013 SQL Server 2008 R2 準備工作 啟動Visual Studio 2013,新建一個ASP.NET Web應用程序,命名為SimpleAPI

ASP.NET Web API 過濾器創建、執行過程(二)

reading mar model驗證 type() 方法的參數 public 所有 ring attr 前言 前面一篇中講解了過濾器執行之前的創建,通過實現IFilterProvider註冊到當前的HttpConfiguration裏的服務容器中,當然默認的基礎服務也是

asp.net Web API 身份驗證 不記名令牌驗證 Bearer Token Authentication 簡單實現

驗證 tca star ati manager ace .com return public 1. Startup.Auth.cs文件 添加屬性 1 public static OAuthBearerAuthenticati

通過擴展讓ASP.NET Web API支持JSONP

web api enc pan star close web應用 lba dia 不存在 同源策略(Same Origin Policy)的存在導致了“源”自A的腳本只能操作“同源”頁面的DOM,“跨源”操作來源於B的頁面將會被拒絕。同源策略以及跨域資源共享在大部分情況下針

maven 之 web.xml 頭錯誤問題

project 工具 ava log java 默認 開發工具 相關 face 1.一般開發工具創建web.xml的時候會默認添加web.xml頭,而有些插件(例如maven相關插件)默認添加的為  版本和你的開發工具Project facets(項目特性)中設置不同.那麽