摘要
customErrors也经常在开发部署中看到<customErrors mode="Off" />,设置这样可以在页面上看到详细的错误信息。但也为黑客提供了攻击的线索。
customErrors
该节点有三种可选的设置项
- On:服务器开发的最安全选项,因为它总是隐藏错误提示信息。
- RemoteOnly:向大多数用户展示一般的错误信息,但向拥有服务器访问权限的用户展示完整的错误提示信息。换句话说,仅向远程客户端端显示自定义错误,并向本地主机显示 ASP.NET 错误。默认值。
- Off:最容易受到攻击的选项,它向访问网站的每个用户展示详细的错误提示消息。
详细的错误信息可能会暴露应用程序的内部结构,比如如果写的sql语句中报错,可能会暴露数据表,以及sql语句,这是非常不安全的。在Off设置下的网站,黑客会不断的尝试,传递不同的参数,使你的网站出错,然后暴露你的应用程序的内部结构。
mode=Off
比如:
<system.web> <authentication mode="None" /> <compilation debug="true" targetFramework="4.5" /> <httpRuntime targetFramework="4.5" /> <customErrors mode="Off" defaultRedirect="error"> </customErrors> </system.web>
在TestAction中直接抛出一个异常,那么我们可以看到与下面类似的黄页
在黄页上面可以看到,页面对应逻辑的堆栈信息,进而暴露项目结构信息。非常的不安全。
那么如果是mode=Off,并且在事件Application_Error中记录并清除错误,会看到什么结果?
protected void Application_Error(object sender, EventArgs e)
{
var context = HttpContext.Current;
if (context != null)
{
Exception objErr = context.Server.GetLastError();
if (objErr != null)
{
string err = "Error Caught in Application_Error event/n" + "Error in:"
+ Request.Url.ToString() + "/nError Message:" + objErr.Message.ToString() +
"/nStack Trace:" + objErr.StackTrace.ToString();
、、、、、日志逻辑
Server.ClearError();
}
}
}
<customErrors mode="Off" defaultRedirect="Error"> </customErrors>
defaultRedirect 指定发生错误时浏览器指向的默认 URL。如果没有指定 defaultRedirect,则会显示一般性错误。URL 既可以是绝对的(例如 http://www.***.com/ErrorPage.htm),也可以是相对的。相对 URL(如 /ErrorPage.htm)是相对于指定 defaultRedirect 的 Web.config 文件而言的,而不是针对产生错误的网页。以波形符 (~) 开头的 URL(如 ~/ErrorPage.htm)表示所指定的 URL 是相对于应用程序根路径而言的。
通过上面的操作,如果设置Off,并且在Application_Error事件中捕获异常,并 Server.ClearError(),那么如果报错,在前端页面就会看到空白的页面。
通过这个也可以说明,如果应用程序出错,先触发的Application_Error事件,ClearError之后,那么在页面上就看不到结果了。
mode=On
在设置On模式情况下,如果应用程序发生错误,会跳转到自定义的错误页,这里使用了defaultRedirect属性,并没有配置 <error statusCode="500" redirect="error"/>
mode=RemoteOnly
通过字面意思,仅仅远程,仅仅远程什么呢?可以看下例子。目前所在编码环境,通过vs调试状态,相对远程要访问的用户,可以将本机当做服务器。那么这就是本地,远程访问的浏览器就是Remote。
可以看到,在服务器端,访问仍然能看到黄页,也就是上面所说的ASP.NET错误。那么我们将站点部署在服务器,然后在本地访问会出现什么情况呢?
通过客户端访问服务器的url,则会跳转到默认的自定义错误页面。那么在服务器端又是什么情况呢?
说明: 仅向远程客户端端显示自定义错误,并向本地主机显示 ASP.NET 错误
总结
所以,不要在生产环境中将customErrors关闭。 推荐开启RemoteOnly或者On并定义自定义的错误页面。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
3月27日消息,苹果宣布2024年全球开发者大会(WWDC)将于6月10日至6月14日举行,巧合的是,这次大会与端午假期重合。
苹果官方表示:
在线参加 Apple 每年规模最大的开发者盛会。亲眼见证 Apple 最新平台、技术和工具的发布。了解如何创建和改进你的 App 和游戏。与 Apple 设计师和工程师互动交流,与全球开发者社区建立联系。以上活动均免费在线举行。
探索各种新的工具、框架和功能,助力你打造出理想的 App 和游戏。通过视频讲座学习新技能,与 Apple 专家进行一对一会面,以推进你的项目,完善你的构思。
Swift Student Challenge 旨在支持和鼓舞下一代开发者、创作者和企业家。太平洋时间 3 月 28 日,我们将公布今年的获奖者名单。获奖者将有资格参加在 Apple Park 举办的特别活动。我们还会选出 50 名杰出获胜者,他们将受邀前往库比提诺,获得为期三天的非凡体验,包括参加 Apple Park 的特别活动。
RTX 5090要首发 性能要翻倍!三星展示GDDR7显存
三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。
首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。
据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。
更新日志
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]