脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程ASP.NET实用技巧 → Asp.net web.config customErrors

详解Asp.net web.config customErrors 如何设置

 更新时间:2018年02月13日 11:03:30   作者:wolfy  
这篇文章主要介绍了详解Asp.net web.config customErrors 如何设置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

摘要

customErrors也经常在开发部署中看到<customErrors mode="Off" />,设置这样可以在页面上看到详细的错误信息。但也为黑客提供了攻击的线索。

customErrors

该节点有三种可选的设置项

  1. On:服务器开发的最安全选项,因为它总是隐藏错误提示信息。
  2. RemoteOnly:向大多数用户展示一般的错误信息,但向拥有服务器访问权限的用户展示完整的错误提示信息。换句话说,仅向远程客户端端显示自定义错误,并向本地主机显示 ASP.NET 错误。默认值。
  3. Off:最容易受到攻击的选项,它向访问网站的每个用户展示详细的错误提示消息。

详细的错误信息可能会暴露应用程序的内部结构,比如如果写的sql语句中报错,可能会暴露数据表,以及sql语句,这是非常不安全的。在Off设置下的网站,黑客会不断的尝试,传递不同的参数,使你的网站出错,然后暴露你的应用程序的内部结构。

mode=Off

比如:

<system.web>
  <authentication mode="None" />
  <compilation debug="true" targetFramework="4.5" />
  <httpRuntime targetFramework="4.5" />
  <customErrors mode="Off" defaultRedirect="error">
  </customErrors>
 </system.web>

在TestAction中直接抛出一个异常,那么我们可以看到与下面类似的黄页

在黄页上面可以看到,页面对应逻辑的堆栈信息,进而暴露项目结构信息。非常的不安全。

那么如果是mode=Off,并且在事件Application_Error中记录并清除错误,会看到什么结果?

 protected void Application_Error(object sender, EventArgs e)
    {
      var context = HttpContext.Current;
      if (context != null)
      {

        Exception objErr = context.Server.GetLastError();
        if (objErr != null)
        {
          string err = "Error Caught in Application_Error event/n" + "Error in:" 
+ Request.Url.ToString() + "/nError Message:" + objErr.Message.ToString() +
       "/nStack Trace:" + objErr.StackTrace.ToString();
        、、、、、日志逻辑
          Server.ClearError(); 
        }
      }
    }
 <customErrors mode="Off" defaultRedirect="Error">   
 </customErrors>

defaultRedirect 指定发生错误时浏览器指向的默认 URL。如果没有指定 defaultRedirect,则会显示一般性错误。URL 既可以是绝对的(例如 http://www.***.com/ErrorPage.htm),也可以是相对的。相对 URL(如 /ErrorPage.htm)是相对于指定 defaultRedirect 的 Web.config 文件而言的,而不是针对产生错误的网页。以波形符 (~) 开头的 URL(如 ~/ErrorPage.htm)表示所指定的 URL 是相对于应用程序根路径而言的。

通过上面的操作,如果设置Off,并且在Application_Error事件中捕获异常,并 Server.ClearError(),那么如果报错,在前端页面就会看到空白的页面。

通过这个也可以说明,如果应用程序出错,先触发的Application_Error事件,ClearError之后,那么在页面上就看不到结果了。

mode=On

在设置On模式情况下,如果应用程序发生错误,会跳转到自定义的错误页,这里使用了defaultRedirect属性,并没有配置 <error statusCode="500" redirect="error"/>

mode=RemoteOnly

通过字面意思,仅仅远程,仅仅远程什么呢?可以看下例子。目前所在编码环境,通过vs调试状态,相对远程要访问的用户,可以将本机当做服务器。那么这就是本地,远程访问的浏览器就是Remote。

可以看到,在服务器端,访问仍然能看到黄页,也就是上面所说的ASP.NET错误。那么我们将站点部署在服务器,然后在本地访问会出现什么情况呢?

通过客户端访问服务器的url,则会跳转到默认的自定义错误页面。那么在服务器端又是什么情况呢?

说明: 仅向远程客户端端显示自定义错误,并向本地主机显示 ASP.NET 错误

 总结

所以,不要在生产环境中将customErrors关闭。 推荐开启RemoteOnly或者On并定义自定义的错误页面。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • ASP.NET Core使用AutoMapper组件

    ASP.NET Core使用AutoMapper组件

    这篇文章介绍了ASP.NET Core使用AutoMapper组件的方法,文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-04-04
  • ASP.NET MVC Admin主页快速构建

    ASP.NET MVC Admin主页快速构建

    这篇文章主要为大家详细介绍了ASP.NET MVC Admin主页快速构建的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-05-05
  • asp.net Repeater 自增

    asp.net Repeater 自增

    asp.net Repeater 自增加实现代码。
    2009-06-06
  • .NET关于API 句柄泄漏分析

    .NET关于API 句柄泄漏分析

    本文主要介绍了.NET关于API 句柄泄漏分析,文中结合代码与图片讲解的非常详细,感兴趣的小伙伴可以自行参考一下
    2021-08-08
  • ASP.NET使用xslt将xml转换成Excel

    ASP.NET使用xslt将xml转换成Excel

    本文介绍利用Excel软件生成格式,提取和精简之后制作成xslt文件,将xml导入,以xslt为模板,生成新的Excel文件的过程。
    2016-05-05
  • Aspx/Asp.net 防注入程序 V1.0

    Aspx/Asp.net 防注入程序 V1.0

    asp下有人写了防注入的程序,这次看到了一个asp.net的特提供给大家参考。
    2009-10-10
  • Asp.net回调技术Callback学习笔记

    Asp.net回调技术Callback学习笔记

    这篇文章主要记录了Asp.net回调技术Callback的一些知识,感兴趣的朋友可以参考下
    2014-08-08
  • 超好用轻量级MVC分页控件JPager.Net

    超好用轻量级MVC分页控件JPager.Net

    本文给大家分享的是一款超好用轻量级MVC分页控件--JPager.Net,小编自己也在使用,非常的不错,推荐给大家。
    2016-06-06
  • .NET逻辑分层架构总结

    .NET逻辑分层架构总结

    本人将从另一个角度来解析.NET分层架构的真正奥秘。分层,一些技术功底比较薄弱的程序员听到分层就会联想到三层架构(BLL,DAL之类的),其实不是,分层是一个很大的技术框架思想,三层架构只不过是对普通的信息系统来说,将信息的流转通过三层来分解,
    2015-06-06
  • IIS中ASP.NET连接SQL Server出错的解决方法

    IIS中ASP.NET连接SQL Server出错的解决方法

    在IIS中运行的ASP.NET应用程序其所属用户名为ASPNET的特定用户,其默认权限是无法访问SQL Server的,更不可能访问ASP.NET应用程序的数据库了,因此要在IIS中访问SQL Server就需要给ASPNET帐户赋予相应的权限.
    2010-03-03

最新评论