asp.net安全问题,自定义错误
scottgu最近向我们发出了此安全漏洞的警报 我想知道,由于我一直在通过Global.asax重定向应用程序错误事件中的错误,我想知道这是否足以解决此问题,或者我是否仍然需要在web.config上放置一个设置?问题是(根据MS),您需要始终以相同的方式响应,无论您有什么特定的错误 您需要将用户重定向到错误404和500的同一页面。这就是为什么最简单的方法是使用web.config设置 他们说这是暂时的,你可以在他们发布补丁后恢复 这是斯科特对一个类似问题的回答: 我建议暂时更新模块,使其始终重定向到搜索页面。这种攻击的工作方式之一是寻找404和500错误之间的区别。始终返回相同的HTTP代码并将它们发送到相同的位置是帮助阻止它的一种方法 请注意,当修补程序出来修复此问题时,您将不需要执行此操作(并且可以恢复到旧的行为)。但就目前而言,我建议客户不要区分404和500asp.net安全问题,自定义错误,asp.net,security,Asp.net,Security,scottgu最近向我们发出了此安全漏洞的警报 我想知道,由于我一直在通过Global.asax重定向应用程序错误事件中的错误,我想知道这是否足以解决此问题,或者我是否仍然需要在web.config上放置一个设置?问题是(根据MS),您需要始终以相同的方式响应,无论您有什么特定的错误 您需要将用户重定向到错误404和500的同一页面。这就是为什么最简单的方法是使用web.config设置 他们说这是暂时的,你可以在他们发布补丁后恢复 这是斯科特对一个类似问题的回答: 我建议暂时更新模块,使其始终
很好,那么我做的global.asax模块就可以工作了。它不区分异常。考虑到错误404(未找到),它不会被全局asax捕获