很多 ASP.NET MVC 开发者都会写出高性能的代码,很好地交付软件,等等。但是却并没有安全性方面的计划。
有一种攻击是攻击者截获最终用户提交的表单数据,将其改变再将修改后的数据发送到服务器。
对于这种情况,开发者需要进行适当的验证,不过验证显示的大量错误信息中可能会泄漏服务器信息。
如常见的404页面和500页面(俗称黄页):
解决方法:
先关闭自定义错误,将Web.config配置文件中customErrors节点的mode设置为Off
1 <system.web> 2 <customErrors mode="Off"></customErrors> 3 <compilation debug="true" targetFramework="4.5"/> 4 <httpRuntime targetFramework="4.5"/> 5 </system.web>