ASP.NET MVC应用安全性(一)——自定义处理错误

很多 ASP.NET  MVC 开发者都会写出高性能的代码,很好地交付软件,等等。但是却并没有安全性方面的计划。

有一种攻击是攻击者截获最终用户提交的表单数据,将其改变再将修改后的数据发送到服务器。

对于这种情况,开发者需要进行适当的验证,不过验证显示的大量错误信息中可能会泄漏服务器信息。

如常见的404页面和500页面(俗称黄页):

ASP.NET MVC应用安全性(一)——自定义处理错误

         

ASP.NET MVC应用安全性(一)——自定义处理错误

 

解决方法:

先关闭自定义错误,将Web.config配置文件中customErrors节点的mode设置为Off

1 <system.web> 2 <customErrors mode="Off"></customErrors> 3 <compilation debug="true" targetFramework="4.5"/> 4 <httpRuntime targetFramework="4.5"/> 5 </system.web>

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wpffzw.html