Sie aspxerrorpath in Benutzerdefinierte Fehlerseite

Wir aktuell eine Seite, die zur Anzeige verwendet eine generische Fehlermeldung, bei Fehlern auf unserer website. Es hat keine Funktionalität bei allen anderen als anzeigen ein label, das erwähnt, es war ein Fehler.

Hier ist mein Problem, unser Kunde hat lief ein security review und sagt uns, unsere Fehler-Seite enthält phishing-wegen der URL im query-string, nun ich betrachte das nicht als ein problem, aber ein Ende zu setzen die Frage ist, würde ich gern entfernen Sie die Abfrage-string.

Meine web.Eintrag config ist diese:

<customErrors mode="On" defaultRedirect="~/DefaultErrorPage.aspx">
</customErrors>

Wenn ein Fehler Auftritt, geht es um DefaultErrorPage.aspx?Sie aspxerrorpath=/Website1/LastPage.aspx

Wie kann ich dies verhindern? Allerdings konnte ich nur eine Umleitung zur Seite, wenn es mit der Abfrage, aber ich bin mehr auf der Suche nach einem Weg, um zu verhindern, dass der query-string statt einem extra-Umleitung.

InformationsquelleAutor jaekie | 2011-01-18
  1. 7

    könnten Sie zu fangen/nehmen Sie alle Fehler in Ihrem global.asax-Datei statt und machen den redirect dort

        protected void Application_Error(object sender, EventArgs e)
    {
        //Exception ex = Server.GetLastError();

        Server.Transfer("~/DefaultErrorPage.aspx");
    }
    • Diese arbeiten werden... bis Microsoft fügt ein <customErrors queryString="off" /> =)
    • Leider funktioniert das nicht wenn der Fehler in Application_Start. "Anforderung ist nicht verfügbar in diesem Kontext"
    • Von "funktioniert nicht" meinst du, es immer noch erlaubt-security-Auditoren glaube, es gibt eine Art von cross-site-scripting-Schwachstelle? Oder benötigen Sie nur für die Verwendung eines anderen Mechanismus, um Fehler zu diagnostizieren in diesem Fall?
    • Von "funktioniert nicht" meine ich, dass die Anwendung nicht gestartet. Die in den meisten Fällen ist es völlig OK, wenn es eine Ausnahme in der Application_Start. Aber was ich wollte, zu tun ist, um mindestens eine benutzerdefinierte 503 "Service Unavailable" - Seite. Ich löste dies durch das abfangen der Ausnahme in Application_Start festlegen einer globalen Flagge und mit Server.Transfer in Begin_Request wenn das flag gesetzt ist, liefern der 503 Seite.
    • vollständige Probe davon???
    InformationsquelleAutor jumpdart
  2. 3

    Als quick-fix, habe ich festgestellt, dass Anhängen von "?" am Ende des defaultRedirect-Einstellung, die für mich gearbeitet zu entfernen, die Sie aspxerrorpath.

    Ich war auch immer das gleiche Problem mit der customErrors-Einstellungen im system.web, und die gleiche Lösung gearbeitet:

    <customErrors mode="On" defaultRedirect="~/SystemError.aspx">
   <error statusCode="403" redirect="~/Home.aspx?"/>
   <error statusCode="404" redirect="~/Home.aspx?"/>
</customErrors>

    Alternativ, tun Sie das selbe system.webServer-Einstellungen:

    <httpErrors errorMode="Custom">
   <remove statusCode="403" subStatusCode="-1" />
   <error statusCode="403" path="/Home.aspx?" responseMode="Redirect" />
   <remove statusCode="404" subStatusCode="-1" />
   <error statusCode="404" path="/Home.aspx?" responseMode="Redirect" /> 
</httpErrors>
    InformationsquelleAutor Tom Austin
  3. 2

    Sind Sie gehen zu müssen, um die Kontrolle der Fehlerbehandlung-Prozess selbst. Eine Methode ist, loszuwerden, die benutzerdefinierte Fehlerseite umleiten und verwenden Sie Application_Error-Methode in der global. Sie können dann direkt der person, wie gebraucht ohne query-string-argument.

    Weitere option ist ELMAH, die entworfen ist, um zu vermeiden, die yellow screen of death " - Fehler in ASP.NET. Sie können dann maßgeschneiderte freundlichen Fehler und keine sorgen über das schreiben von code zur Fehlerbehandlung per se.

    Eine Dritte Methode ist die Aufklärung der Sicherheits-team auf, wie ASP.NET arbeiten und sehen, ob das "Sicherheitsrisiko" ist legitim (es kann sein) oder nicht. Dies bedeutet nicht, dass Sie nicht machen Sie eine der oben genannten Optionen natürlich trotzdem.

    • Ich würde gerne ELMAH verwenden, ich benutze es auf meinem home-Projekte, und meine Kunden beschränken 99% von unseren 3rd-party und 100% open source 3rd parties
    InformationsquelleAutor Gregory A Beamer
Schreibe einen Kommentar