2

最近の ASP.NET の脆弱性から保護するために、customErrors セクションを変更しました。

私たちの問題は、HttpRequestValidationException によって YSOD が表示されるようになり、他の例外やページが見つからないというエラーによってカスタム エラー ページが表示されることです。

redirectMode を ResponseRedirect に変更すると、すべて正常に動作します。

これは私たちの変更されたセクションです:

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/Error.aspx"/>

この質問は、最近の ASP.NET の脆弱性とは関係ありません!これは、ResponseRewrite の redirectMode と HttpRequestValidationException の組み合わせに関するものです。まもなくパッチが適用され、ResponseRedirect に戻る可能性があることはわかっています。

敬具、マーティン

4

1 に答える 1

2

これは、エラー ページでエラーが発生した場合に発生します。

エラーページでリクエストの検証をオフにしてください。<%@ Page ValidateRequest="false" %>

もちろん、エラー ページに表示されるすべてのユーザー入力をエンコードする必要があります。例えば。Server.HtmlEncode(ex.Message)

于 2011-11-18T02:23:32.937 に答える