Sie aspxerrorpath in Benutzerdefinierte Fehlerseite
Wir aktuell eine Seite, die zur Anzeige verwendet eine generische Fehlermeldung, bei Fehlern auf unserer website. Es hat keine Funktionalität bei allen anderen als anzeigen ein label, das erwähnt, es war ein Fehler.
Hier ist mein Problem, unser Kunde hat lief ein security review und sagt uns, unsere Fehler-Seite enthält phishing-wegen der URL im query-string, nun ich betrachte das nicht als ein problem, aber ein Ende zu setzen die Frage ist, würde ich gern entfernen Sie die Abfrage-string.
Meine web.Eintrag config ist diese:
<customErrors mode="On" defaultRedirect="~/DefaultErrorPage.aspx">
</customErrors>
Wenn ein Fehler Auftritt, geht es um DefaultErrorPage.aspx?Sie aspxerrorpath=/Website1/LastPage.aspx
Wie kann ich dies verhindern? Allerdings konnte ich nur eine Umleitung zur Seite, wenn es mit der Abfrage, aber ich bin mehr auf der Suche nach einem Weg, um zu verhindern, dass der query-string statt einem extra-Umleitung.
Du musst angemeldet sein, um einen Kommentar abzugeben.
könnten Sie zu fangen/nehmen Sie alle Fehler in Ihrem global.asax-Datei statt und machen den redirect dort
Als quick-fix, habe ich festgestellt, dass Anhängen von "?" am Ende des defaultRedirect-Einstellung, die für mich gearbeitet zu entfernen, die Sie aspxerrorpath.
Ich war auch immer das gleiche Problem mit der customErrors-Einstellungen im system.web, und die gleiche Lösung gearbeitet:
Alternativ, tun Sie das selbe system.webServer-Einstellungen:
Sind Sie gehen zu müssen, um die Kontrolle der Fehlerbehandlung-Prozess selbst. Eine Methode ist, loszuwerden, die benutzerdefinierte Fehlerseite umleiten und verwenden Sie Application_Error-Methode in der global. Sie können dann direkt der person, wie gebraucht ohne query-string-argument.
Weitere option ist ELMAH, die entworfen ist, um zu vermeiden, die yellow screen of death " - Fehler in ASP.NET. Sie können dann maßgeschneiderte freundlichen Fehler und keine sorgen über das schreiben von code zur Fehlerbehandlung per se.
Eine Dritte Methode ist die Aufklärung der Sicherheits-team auf, wie ASP.NET arbeiten und sehen, ob das "Sicherheitsrisiko" ist legitim (es kann sein) oder nicht. Dies bedeutet nicht, dass Sie nicht machen Sie eine der oben genannten Optionen natürlich trotzdem.