详解Asp.net web.config customErrors 如何设置

摘要

customerrors也经常在开发部署中看到<customerrors mode=”off” />，设置这样可以在页面上看到详细的错误信息。但也为黑客提供了攻击的线索。

customerrors

该节点有三种可选的设置项

1. on：服务器开发的最安全选项，因为它总是隐藏错误提示信息。
2. remoteonly：向大多数用户展示一般的错误信息，但向拥有服务器访问权限的用户展示完整的错误提示信息。换句话说，仅向远程客户端端显示自定义错误，并向本地主机显示 asp.net 错误。默认值。
3. off：最容易受到攻击的选项，它向访问网站的每个用户展示详细的错误提示消息。

详细的错误信息可能会暴露应用程序的内部结构，比如如果写的sql语句中报错，可能会暴露数据表，以及sql语句，这是非常不安全的。在off设置下的网站，黑客会不断的尝试，传递不同的参数，使你的网站出错，然后暴露你的应用程序的内部结构。

mode=off

比如：

<system.web>
  <authentication mode="none" />
  <compilation debug="true" targetframework="4.5" />
  <httpruntime targetframework="4.5" />
  <customerrors mode="off" defaultredirect="error">
  </customerrors>
 </system.web>

在testaction中直接抛出一个异常，那么我们可以看到与下面类似的黄页

在黄页上面可以看到，页面对应逻辑的堆栈信息，进而暴露项目结构信息。非常的不安全。

那么如果是mode=off，并且在事件application_error中记录并清除错误，会看到什么结果？

 protected void application_error(object sender, eventargs e)
    {
      var context = httpcontext.current;
      if (context != null)
      {

        exception objerr = context.server.getlasterror();
        if (objerr != null)
        {
          string err = "error caught in application_error event/n" + "error in:" 
+ request.url.tostring() + "/nerror message:" + objerr.message.tostring() +
       "/nstack trace:" + objerr.stacktrace.tostring();
        、、、、、日志逻辑
          server.clearerror(); 
        }
      }
    }

 <customerrors mode="off" defaultredirect="error">   
 </customerrors>

defaultredirect 指定发生错误时浏览器指向的默认 url。如果没有指定 defaultredirect，则会显示一般性错误。url 既可以是绝对的（例如 http://www.***.com/errorpage.htm），也可以是相对的。相对 url（如 /errorpage.htm）是相对于指定 defaultredirect 的 web.config 文件而言的，而不是针对产生错误的网页。以波形符 (~) 开头的 url（如 ~/errorpage.htm）表示所指定的 url 是相对于应用程序根路径而言的。

通过上面的操作，如果设置off，并且在application_error事件中捕获异常，并 server.clearerror()，那么如果报错，在前端页面就会看到空白的页面。

通过这个也可以说明，如果应用程序出错，先触发的application_error事件，clearerror之后，那么在页面上就看不到结果了。

mode=on

在设置on模式情况下，如果应用程序发生错误，会跳转到自定义的错误页，这里使用了defaultredirect属性，并没有配置 <error statuscode=”500″ redirect=”error”/>

mode=remoteonly

通过字面意思，仅仅远程，仅仅远程什么呢？可以看下例子。目前所在编码环境，通过vs调试状态，相对远程要访问的用户，可以将本机当做服务器。那么这就是本地，远程访问的浏览器就是remote。

可以看到，在服务器端，访问仍然能看到黄页，也就是上面所说的asp.net错误。那么我们将站点部署在服务器，然后在本地访问会出现什么情况呢？

通过客户端访问服务器的url，则会跳转到默认的自定义错误页面。那么在服务器端又是什么情况呢？

说明： 仅向远程客户端端显示自定义错误，并向本地主机显示 asp.net 错误

 总结

所以，不要在生产环境中将customerrors关闭。 推荐开启remoteonly或者on并定义自定义的错误页面。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持www.887551.com。