如何:显示安全错误信息

最新推荐文章于 2020-12-20 12:52:19 发布
最新推荐文章于 2020-12-20 12:52:19 发布
阅读量468 收藏
点赞数
文章标签: session redirect processing exception application 服务器
本文介绍如何在应用程序显示错误信息时,避免泄露敏感信息,通过配置Web.config文件、实现错误处理和创建全局错误处理程序,确保只向本地用户展示详细错误,同时在远程用户下提供统一的错误页面,提升系统的安全性。
摘要由CSDN通过智能技术生成
 

在您的应用程序显示错误信息时,它不应该泄露有助于恶意用户攻击您系统的信息。例如,如果您的应用程序试图登录数据库时没有成功,则显示的错误信息不应该包括它正在使用的用户名。

有许多方法可以控制错误信息,包括:

  • 将应用程序配置为不向远程用户显示详细错误信息。(远程用户是指在 Web 服务器计算机上工作但未请求页的用户。)您也可以选择将错误重定向到应用程序页。

  • 只要可行就包括错误处理,并编写您自己的错误信息。在您的错误处理程序中,可以进行测试以确定用户是否为本地用户并做出相应的响应。

  • 在捕捉所有未处理异常并将它们发送到一般错误页的页级别或应用程序级别上,创建全局错误处理程序。这样,即使您没有预料到某个问题,至少用户不会看到异常页。

将应用程序配置为不向远程用户显示错误

  • 在应用程序的 Web.config 文件中,对 customErrors 元素进行以下更改:

    • mode 属性设置为 RemoteOnly(区分大小写)。这就将应用程序配置为仅向本地用户(即,您 - 开发人员)显示详细的错误。

    • (可选)包括指向应用程序错误页的 defaultRedirect 属性。

    • (可选)包括将错误重定向到特定页的 <error> 元素。例如,您可以将标准 404 错误(未找到页)重定向到您自己的应用程序页。

    下面的代码示例显示 Web.config 文件中的典型 customErrors 块。

    复制 
    <customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx"> 
   <error statusCode="404" redirect="NoSuchPage.aspx"/> 
   <error statusCode="403" redirect="NoAccessAllowed.aspx"/> 
</customErrors>

包括错误处理

  1. 在任何可能生成错误的语句周围使用一个 try-catch 块。

  2. 可以选择使用 IsLocal 属性对本地用户进行测试并相应地修改错误处理。值 127.0.0.1 等效于 localhost,指示浏览器与 Web 服务器位于同一台计算机上。

    下面的代码示例显示一个错误处理块。如果发生错误,则用有关消息的详细信息加载 Session 状态变量,然后应用程序显示可以读取 Session 变量并显示错误的页。(有意写入此错误以便不向用户提供任何可利用的详细信息。)如果用户是本地用户,则提供不同的错误详细信息。在 finally 块中,释放开放式资源。

    VB
    C#
    C++
    F#
    JScript
    复制 
    不支持该语言或没有可用的代码示例。

    VB
    C#
    C++
    F#
    JScript
    复制 
    try
{
    sqlConnection1.Open();
    sqlDataAdapter1.Fill(dsCustomers1);
}
catch (Exception ex)
{
    if(Request.IsLocal)
    { Session["CurrentError"] = ex.Message; }
    else
    { Session["CurrentError"] = "Error processing page."; }
    Server.Transfer("ApplicationError.aspx");
}
finally 
{
    this.sqlConnection1.Close();
}

您也可以创建一个这样的错误处理程序,它在页级别上或为整个应用程序捕捉所有未处理的异常。

创建全局错误处理程序

  • 若要在页中创建全局处理程序,请创建 TemplateControl.Error 事件的处理程序。若要创建应用程序范围的错误处理程序,请在 Global.asax 文件中将代码添加到 HttpApplication.Error 事件。只要您的页或应用程序中发生未处理的异常,就会相应地调用这些方法。您可以从 GetLastError 方法获取有关最新错误的信息。

    说明:

    如果您具有全局错误处理程序,则它优先于在 customErrors 配置元素的 defaultRedirect 属性中指定的错误处理。

    下面的代码示例显示一个处理程序,它获取有关当前错误的信息,将其放在 Session 变量中,然后调用可以提取和显示错误信息的一般性错误处理页。

     
    VB
    C#
    C++
    F#
    JScript
     
    复制 
    不支持该语言或没有可用的代码示例。

     
    VB
    C#
    C++
    F#
    JScript
     
    复制 
    protected void Application_Error(Object sender, EventArgs e)
{
    Session["CurrentError"] = "Global: " + 
        Server.GetLastError().Message;
    Server.Transfer("lasterr.aspx");
}
tianxiaaoyou
关注
运维系列(仅供参考):将安全信息应用到以下对象时发生错误:C:\Users\lenovo\Application Data无法枚举容器中的对象。访问被拒绝。
weixin_54626591的博客
03-26 7160
安全信息应用到以下对象时发生错误:C:\Users\lenovo\Application Data无法枚举容器中的对象。访问被拒绝。
亲测有效:局域网共享打印机出现,windows无法连接到打印机错误码0x0000011b
weixin_62707809的博客
10-14 23万+
打印机局域网共享,出现“windows无法连接到打印机错误码0x0000011b”的解决方案。
错误安全配置
bnrmaster的博客
10-28 2979
Web应用安全
对数据库操作时,提示数据库打开失败
u010105228的博客
08-24 1484
一.直接物理删除文件导致数据库挂了 连其他的表空间都建不了了,因为数据库挂起了,禁止你进行任何操作了。重新连接数据库试试如果是你自己建的表空间删除了的话 可以试试 用sys用户 连进去,然后alter tablespace xxx offline drop including contents and datafiles;如果可以删除成功的话,试着打开数据库看看提示无效的OFFLINE,
dojo tips
浅博的凡人
03-04 1326
安全错误位于 file:///D:/workspace/neweb/pages/dojo/login.eg.html 的内容不可以载入来自 http://o.aolcdn.com/dojo/1.0.0/dojo/parser.js 的数据。 当firefox3使用dojo时,出现了这样的错误。我查了一下,javaeyes的文章 1在地址栏中输入about:config
NT2102.CH1501:信息系统安全
04-04
2. 错误处理:避免错误信息暴露系统细节,应配置为显示简洁的错误信息或无错误信息。 3. 文件操作安全:谨慎处理文件上传,防止恶意文件注入,确保文件权限设置合理。 4. 安全编程习惯:如使用预编译语句防止SQL...
IIS自定义404错误页避免暴露.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,暴露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图:...
angular-alert-messages:用于显示基于引导程序的信息警告错误消息的 Angular 组件
06-01
允许发送和显示基于引导程序的信息/警告/错误消息的 Angular 组件。 这利用了 Angular UI Bootstrap 组件的警报指令。 警报可以显示文本或 HTML。 为了安全起见,HTML 通过标准的 AngularJS ngSanitize 模块进行...
C# 常见错误处理
藏卜苦涩
07-29 582
1 ArgumentException 在向方法提供的其中一个参数无效时引发的异常 2 AppDomainUnloadedException 在尝试访问已卸载的应用程序域时引发的异常 3 ArithmeticException 因算术运算、类型转换或转换操作中的错误而引发的异常 4 ArrayTypeMismatchException 当试图在数组中存储类型不正确的元素时引发
cesium 报错{"code":"InvalidCredentials","message":"Invalid access token"}
A873054267的博客
10-28 9196
这是因为需要申请token。 申请页面为:https://cesium.com/ion/tokens 在初始化viewer之前,将token加入即可 Cesium.Ion.defaultAccessToken='你的token'; var viewer = new Cesium.Viewer('cesiumContainer',{ baseLayerPicker:false, ...
数据库加载时出错的解决
路遥知马力
11-29 2413
数据库加载数据时 出现错误 constraint failed 是说加载失败,什么原因呢。主要是设置了主键,之前加载过一次,出错了,这次又加载 主键冲突,出现了此错误,解决办法,不设置主键没能解决掉,我用了令一个办法,就是重新CREATE DATABASE 建立另一个名字的数据库加载,就好啦!
404 单页应用 报错 路由_spring - 配置spring boot以将404重定向到单个页面应用程序 - 堆栈内存溢出...
weixin_39849888的博客
12-20 193
这里的安全配置(SecurityConfig.java)@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled=true)public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate Environm...
安全透明方法“System.Web.Mvc.PreApplicationStartCode.Start()”尝试访问安全关键方法“System.Web.WebPages.PreApplicationS
mejian1992的博客
04-12 6920
在搭建环境的时候出现如下错误安全透明方法“System.Web.Mvc.PreApplicationStartCode.Start()”尝试访问安全关键方法“System.Web.WebPages.PreApplicationStartCode.Start()”失败。解决方法:删除bin 中的System.Web.Mvc dll...
了解 .NET Framework 2.0 中“代码访问安全性”(CAS) 的新特点
hzq726的专栏
12-26 2447
本文将介绍以下内容: •CAS 概述•沙箱技术与信任级别 •开发宿主与框架 •AppDomain 与安全性本文涉及以下技术:•.NET Framework 2.0、Visual Studio 2005本页内容为何采用 CAS?了解沙箱权限宿主和框架AppDomain 与安全性定义沙箱如何托管CAS 和框架安全透明代码使用透明性 小结Microsoft® .NET Framework 采用了多种安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值