标签看起来像这样:
<customErrors mode="RemoteOnly" defaultRedirect="~/RSRTerror.aspx" />
当我在任何其他页面上时,重定向工作正常,例如:
http://mysite.com/hello.aspx?idx=somethingWrong
以上重定向到错误页面没有问题。
但是,当我在时:
http://mysite.com/RSRTerror.aspx?aspxerrorpath='"--></style></script><script>netsparker(0x0023B6)</script>
它给了我以下信息:
<!-- Web.Config Configuration File -->
<configuration>
<system.web>
<customErrors mode="Off"/>
</system.web>
</configuration>
Notes: The current error page you are seeing can be replaced by a custom error page by modifying the "defaultRedirect" attribute of the application's <customErrors> configuration tag to point to a custom error page URL.
<!-- Web.Config Configuration File -->
<configuration>
<system.web>
<customErrors mode="RemoteOnly" defaultRedirect="mycustompage.htm"/>
</system.web>
</configuration>
我关闭 customErrors 时看到的错误是:
从客户端检测到潜在危险的 Request.QueryString 值
我该如何处理?
如果我在 Errorpage 上设置 ValidateRequest="false",它会允许更多漏洞通过吗?