最近,一个安全团队问我是否可以更改从 WCF 服务中的反序列化问题返回的消息。有问题的错误是他们截获了消息并传递了一个超出 Int32 范围的整数。
无法将值“2147483649”解析为“Int32”类型。
我的回答是反序列化过程发生在我的单行服务执行之前,这是不可能的。然而,有可能实现这个目标吗?
问问题
670 次
1 回答
5
听起来您有includeExceptionDetailInFaults ="true"。True 是在进行生产部署之前应设置为 false 的默认值。一旦这是错误的,您将收到一般错误消息。这应该足以让安全感到高兴。
一个更好的选择是实现IErrorHandler。这是允许您处理异常的扩展点,即使它发生在执行到达您的服务代码之前。
于 2014-02-07T20:27:07.860 回答