我正在使用 IIS8 和基于 .net 框架 4.5 构建的 MVC.NET 网站,作为安全修复的一部分,我被告知拥有所有 403 状态代码的通用错误消息,我能够使用来自 web 的 httpErrors 标签来实现。配置文件使用“”条目。但是 http.sys 引发的一些错误仍然显示系统级错误而不是一般错误。例如,对 URL“ http://abc.xyz.com/login/../../../../../../../admin.txt ”执行 GET 请求将返回“HTTP错误 403。请求 URL 被禁止。” 错误,而它应该返回我的 httpErrors 标记中提到的通用错误消息。
令我惊讶的是,如果我停止网站(不是 IIS),我仍然收到相同的错误,它确实确认错误是在 IIS 的低级 API 上处理的,并且没有传递到应用程序层,因此 web.config 中的任何更改都是无助于解决此问题。
有人可以对如何解决这个问题有所了解吗?
谢谢阿杰·萨万特