IIS错误页面隐藏版本信息 - Web.Config customErrors配置
目录
- 背景
- 分析暴露原因
- 解决办法
- 扩展学习customErrors使用方法
- customErrors元素配置结构
- 元素属性
- Mod 属性选项
- 示例
- 参考文章
背景
项目现按照国网的要求,测试后发现系统错误页面存在服务器版本号泄露,不允许部署安装
分析暴露原因
查看请求找到如下解释:
此错误页可能包含敏感信息,因为 ASP.NET 通过 <customErrors mode=“Off”/> 被配置为显示详细错误消息。请考虑在生产环境中使用 <customErrors mode=“On”/> 或 <customErrors mode=“RemoteOnly”/>
解决办法
遂找到项目使用的Web.Config中<customErrors>中的mode=off删除。于是问题解决。
<configuration><system.web><customErrors><customErrors defaultRedirect="ErrorReport.aspx"><error statusCode="statuscode" redirect="url"/></customErrors>...
扩展学习customErrors使用方法
customErrors元素配置结构
| 元素 | 描述 | 备注 |
|---|---|---|
| <customErrors> | 提供有关ASP.NET 应用程序自定义错误消息的信息。 | 不适用于在 XML Web 服务中出现的错误。 |
在Web.Config配置文件中,customErrors元素配置结构的示例:
<configuration><system.web><customErrors><customErrors defaultRedirect="ErrorReport.aspx" mode="On|Off|RemoteOnly"><error statusCode="statuscode" redirect="url"/></customErrors>...
元素属性
| 属性 | 描述 |
|---|---|
| Mode | 指定启用、禁用或仅对远程客户端显示自定义错误。 |
| defaultRedirect (可选) | 指定发生错误时浏览器指向的默认 URL。如果没有指定 defaultRedirect,则会显示一般性错误。URL 既可以是绝对的(例如 http://www.***.com/ErrorPage.htm),也可以是相对的。相对 URL(如 /ErrorPage.htm)是相对于指定 defaultRedirect 的 Web.config 文件而言的,而不是针对产生错误的网页。以波形符 (~) 开头的 URL(如 ~/ErrorPage.htm)表示所指定的 URL 是相对于应用程序根路径而言的。 |
Mod 属性选项
| Mod 选项 | 描述 |
|---|---|
| RemoteOnly | 指定仅向远程客户端端显示自定义错误,并向本地主机显示 ASP.NET 错误。这是默认值。 |
| On | 指定启用自定义错误。如果没有指定 defaultRedirect,用户将看到一般性错误。 |
| Off | 指定禁用自定义错误。这允许显示详细的错误。 |
服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止查看应用程序错误的详细信息。
| 子元素 | 描述 |
|---|---|
| <error> | 错误子标记可以出现多次。每出现一次便定义了一个自定义错误条件。 |
示例
下例指定了 ASP.NET 应用程序的错误处理页。
<configuration><system.web><customErrors defaultRedirect="GenericError.htm" mode="RemoteOnly"><error statusCode="500" redirect="InternalError.htm"/></customErrors></system.web>
</configuration>
说明:
服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止查看应用程序错误的详细信息。
若要使他人能够从本地服务器计算机上查看此特定错误信息的详细信息,请在位于当前 Web 应用程序根目录下的“web.config”配置文件中创建一个<customErrors>标记。然后应将此<customErrors>标记的“mode”属性设置为“RemoteOnly”。若要使他人能够在远程计算机上查看详细信息,请将“mode”设置为“Off”。
通过修改应用程序的 配置标记的“defaultRedirect”属性,使之指向自定义错误页的 URL,可以用自定义错误页替换所看到的当前错误页。
参考文章
Web.Config配置文件中customErrors元素的使用方法
关于Web.Config中的mode属性问题
IIS Web.Config中customErrors的使用方法(mode=On|Off|RemoteOnly)
IIS错误页面隐藏版本信息 - Web.Config customErrors配置相关推荐
- Tomcat删掉错误页面的版本信息
Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞 方案一:修改版本号 1.进入Tomcat下的lib目录,备份catalina. ...
- Apache实现盗链与防盗链与隐藏版本信息
文章目录 一:盗链实操步骤 1.2:win 10 测试dns解析 1.3:首先需要手工编译安装Apache 1.4:make编译安装make install 1.5:编辑配置文件 1.6:客户机测试正 ...
- web安全——隐藏版本信息
以命令curl -I www.google.com 查看结果如何: HTTP/1.1 302 Found Cache-Control: private Location: http://sorry.g ...
- Web.Config文件配置之连接默认错误页
在一些网站中,当网络地址发生错误时,通常会自动跳转到一个页面,并在该页面显示错误信息,此功能叶可以通过配置Web.Config文件配置实现.例如访问者在访问网站时出现错误,程序将跳转到默认页面erro ...
- 手把手教你,嘴对嘴传达------Apache(安全优化防盗链、隐藏版本信息)
文章目录 一.配置防盗链 1.防盗链概述 2.盗链模拟步骤 3.检查Apache是否安装了mod_rewrite模块 4.配置规则变量说明 5.规则匹配说明 6.配置操作演示 二.防盗链实操 1.环境 ...
- 采用ASP.NET IIS 注册工具 (Aspnet_regiis.exe)对web.config实行本地加密
加密原因:我们通常将一些重要的配置信息写在Web.config里面,其中数据库链接就是这样的信息.将这些数据直接明文显示,显然不太安全. 工具: 采用ASP.NET IIS 注册工具 (Aspnet_ ...
- 文件隐藏服务器版本信息,隐藏版本信息
隐藏版本信息 内容精选 换一换 PG_EXTENSION_DATA_SOURCE系统表存储外部数据源对象的信息.一个外部数据源对象(Data Source)包含了外部数据库的一些口令编码等信息,主要配 ...
- linux隐藏apache信息,Apache防盗链和隐藏版本信息-linux-centos运维
有需要服务器方面的需求和咨询,可以联系博主 QQ 7271895 一.防盗链 二.隐藏版本信息 实验要求: 三台虚拟机分别是:linux和两台windows虚拟机,linux虚拟机为服务器,Windo ...
- web.config中配置数据库连接的两种方式
在网站开发中,数据库操作是经常要用到的操作,ASP.NET中一般做法是在web.config中配置数据库连接代码,然后在程序中调用数据库连接代码,这样做的好处就是当数据库连接代码需要改变的时候,我们只 ...
最新文章
- oracle mysql事物隔离级别_Oracle数据库事物隔离级别
- Swift 高级运算符
- [mvc] 简单的forms认证
- [FxCop.设计规则]16. 不要在封闭类中声明虚成员
- 程序员面试题精选100题(17)-把字符串转换成整数[算法]
- java class 是否相等_Java重要技术(30)类加载器之Class类型的相等比较
- Xcode8.0 删除插件路径
- 杨辉三角形又称Pascal三角形,它的第i+1行是(a+b)i的展开式的系数
- cocos2dx 3.x 蒙板 遮罩 点击圆功能
- wap手机网页html5通过特殊链接移动设备:打电话,发短信,发邮件详细教程
- 动态网页抓取数据软件
- 附加:中半部分sql语句 区/县(数据表)
- python人脸对比相似度_Python比较两个图片相似度的方法
- 安卓的个性化彩色二维码的完美实现
- snappy流式编解码总结
- 设计模式 —— 装饰模式
- Canonical通过Flutter启用Linux桌面应用程序支持
- 转载TortoiseSVN的使用详解2(http://www.cnblogs.com/xiaobaihome/archive/2012/03/20/2407610.html)
- App自动化元素查看工具
- 每日一练--IT冷知识C/C++--第八天