1. 程式人生 > >[Asp.net]web.config customErrors 如何設置?

[Asp.net]web.config customErrors 如何設置?

mpi 堆棧 顯示 數據表 意思 send ring 安全 傳遞

摘要

customErrors也經常在開發部署中看到<customErrors mode="Off" />,設置這樣可以在頁面上看到詳細的錯誤信息。但也為黑客提供了攻擊的線索。

customErrors

該節點有三種可選的設置項

  1. On:服務器開發的最安全選項,因為它總是隱藏錯誤提示信息。
  2. RemoteOnly:向大多數用戶展示一般的錯誤信息,但向擁有服務器訪問權限的用戶展示完整的錯誤提示信息。換句話說,僅向遠程客戶端端顯示自定義錯誤,並向本地主機顯示 ASP.NET 錯誤。默認值。
  3. Off:最容易受到攻擊的選項,它向訪問網站的每個用戶展示詳細的錯誤提示消息。

詳細的錯誤信息可能會暴露應用程序的內部結構,比如如果寫的sql語句中報錯,可能會暴露數據表,以及sql語句,這是非常不安全的。在Off設置下的網站,黑客會不斷的嘗試,傳遞不同的參數,使你的網站出錯,然後暴露你的應用程序的內部結構。

mode=Off

比如:

 <system.web>
    <authentication mode="None" />
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
    <customErrors mode="Off" defaultRedirect="error">
    </customErrors>
  </system.web>

在TestAction中直接拋出一個異常,那麽我們可以看到與下面類似的黃頁

技術分享圖片

在黃頁上面可以看到,頁面對應邏輯的堆棧信息,進而暴露項目結構信息。非常的不安全。

那麽如果是mode=Off,並且在事件Application_Error中記錄並清除錯誤,會看到什麽結果?

  protected void Application_Error(object sender, EventArgs e)
        {
            var context = HttpContext.Current;
            if (context != null)
            {

                Exception objErr 
= context.Server.GetLastError(); if (objErr != null) { string err = "Error Caught in Application_Error event/n" + "Error in:"
+ Request.Url.ToString() + "/nError Message:" + objErr.Message.ToString() + "/nStack Trace:" + objErr.StackTrace.ToString(); 、、、、、日誌邏輯 Server.ClearError(); } } }
 <customErrors mode="Off" defaultRedirect="Error">     
 </customErrors>

defaultRedirect 指定發生錯誤時瀏覽器指向的默認 URL。如果沒有指定 defaultRedirect,則會顯示一般性錯誤。URL 既可以是絕對的(例如 http://www.***.com/ErrorPage.htm),也可以是相對的。相對 URL(如 /ErrorPage.htm)是相對於指定 defaultRedirect 的 Web.config 文件而言的,而不是針對產生錯誤的網頁。以波形符 (~) 開頭的 URL(如 ~/ErrorPage.htm)表示所指定的 URL 是相對於應用程序根路徑而言的。

通過上面的操作,如果設置Off,並且在Application_Error事件中捕獲異常,並 Server.ClearError(),那麽如果報錯,在前端頁面就會看到空白的頁面。

技術分享圖片

通過這個也可以說明,如果應用程序出錯,先觸發的Application_Error事件,ClearError之後,那麽在頁面上就看不到結果了。

mode=On

在設置On模式情況下,如果應用程序發生錯誤,會跳轉到自定義的錯誤頁,這裏使用了defaultRedirect屬性,並沒有配置 <error statusCode="500" redirect="error"/>

技術分享圖片

mode=RemoteOnly

通過字面意思,僅僅遠程,僅僅遠程什麽呢?可以看下例子。目前所在編碼環境,通過vs調試狀態,相對遠程要訪問的用戶,可以將本機當做服務器。那麽這就是本地,遠程訪問的瀏覽器就是Remote。

技術分享圖片

可以看到,在服務器端,訪問仍然能看到黃頁,也就是上面所說的ASP.NET錯誤。那麽我們將站點部署在服務器,然後在本地訪問會出現什麽情況呢?

技術分享圖片

通過客戶端訪問服務器的url,則會跳轉到默認的自定義錯誤頁面。那麽在服務器端又是什麽情況呢?

技術分享圖片

說明: 僅向遠程客戶端端顯示自定義錯誤,並向本地主機顯示 ASP.NET 錯誤

總結

所以,不要在生產環境中將customErrors關閉。 推薦開啟RemoteOnly或者On並定義自定義的錯誤頁面。

[Asp.net]web.config customErrors 如何設置?