在ASP.NET中指定出錯頁面，不讓代碼外泄！

在ASP.NET中原始的出錯頁面會暴露部分原始碼，由此帶來了潛在的安全隱患。

ASP.NET允許應用程式出錯時顯示使用者指定的頁面，方法是在web.config檔案中修改配置資訊。

<? xml version="1.0" encoding="UTF-8" ?>

<configuration>

 

    <system.web>

        
        <customErrors mode="On" defaultRedirect="ErrorPage.htm" />

        
    </system.web>

 

</configuration>

上面的配置資訊明確指定了當應用程式出錯的時候顯示使用者定製的頁面ErrorPage.htm。並且因為各個應用程式有自己獨立的web.config設定檔，所以應用程式之間不會互相干擾。

其中，mode屬性工作表示是否啟用定製的使用者頁面，它可取三個值，如下所示：

On 啟用定製的出錯頁面

Off 禁用定製的出錯頁面

RemoteOnly 啟用定製的出錯頁面但僅展示給遠端使用者

defaultRedirect屬性工作表示使用者定製出錯頁面的檔案名稱。

<!-- 自訂錯誤資訊

設定 customError 模式值可以控制應向

使用者顯示方便使用錯誤資訊而不是錯誤詳細資料(包括堆疊追蹤資訊):

“On”始終顯示自訂(友好的)資訊

“Off”始終顯示詳細的 ASP.NET 錯誤資訊。

“RemoteOnly”只對不在本地 Web 服務器上啟動並執行

使用者顯示自訂(友好的)資訊。出於安全目的，建議使用此設定，以便

不向遠程用戶端顯示應用程式的詳細資料。

-->

注釋中說明!

預設下是<customErrors mode="RemoteOnly" />只針對遠端使用者

改為<customErrors mode="On" defaultRedirect="ErrorPage.htm" />

後始終顯示自訂的頁面,而不顯示程式的詳細資料!