其中一项是:
使用结构化异常处理而不是返回错误代码。
对我来说,返回错误代码和描述/消息,尤其是对非管理员或生产环境,似乎比返回完整异常更好/更安全,这是一种隐藏错误详细信息的方法。
我错过了什么吗?
问问题
116 次
1 回答
2
他们可能不是指最终用户显示的错误。
我认为他们的意思是你应该在内部使用这样的错误处理。
指 OWASP 的这一部分。这里的区别在于使用对象之类的异常 VS 返回码等。正如指南所述,使用类似异常的对象意味着您可以以更可靠的方式涵盖所有情况。
向最终用户公开哪些数据的问题将是一个完全独立的问题。 注意: Microsoft Document中的 2 行。
系统或敏感的应用程序信息不会泄露。仅将一般错误消息返回给最终用户。
于 2013-07-08T22:58:42.813 回答