2

我们已经修改了 customErrors 部分以防止最近的 ASP.NET 漏洞。

我们的问题是,HttpRequestValidationException 现在导致显示 YSOD,其他异常和未找到页面错误正在显示我们的自定义错误页面。

如果我们将 redirectMode 更改为 ResponseRedirect 一切正常。

这是我们修改的部分:

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/Error.aspx"/>

这个问题与最近的 ASP.NET 漏洞无关!它是关于 ResponseRewrite redirectMode 与 HttpRequestValidationException 的结合。我们知道很快就会有一个补丁,我们可以改回 ResponseRedirect。

亲切的问候,马丁

4

1 回答 1

2

当您的错误页面生成错误时,就会发生这种情况。

确保在错误页面上关闭请求验证。<%@ Page ValidateRequest="false" %>

然后,您当然需要对显示在错误页面上的任何用户输入进行编码。例如。Server.HtmlEncode(例如消息)

于 2011-11-18T02:23:32.937 回答