目录

背景分析暴露原因解决办法扩展学习customErrors使用方法customErrors元素配置结构元素属性Mod 属性选项示例参考文章

背景

项目现按照国网的要求，测试后发现系统错误页面存在服务器版本号泄露，不允许部署安装

分析暴露原因

查看请求找到如下解释：

此错误页可能包含敏感信息，因为 通过 <customErrors mode=“Off”/> 被配置为显示详细错误消息。请考虑在生产环境中使用 <customErrors mode=“On”/> 或 <customErrors mode=“RemoteOnly”/>

解决办法

遂找到项目使用的Web.Config中<customErrors>中的mode=off删除。于是问题解决。

<configuration><system.web><customErrors><customErrors defaultRedirect="ErrorReport.aspx"><error statusCode="statuscode" redirect="url"/></customErrors>...

扩展学习customErrors使用方法

customErrors元素配置结构

在Web.Config配置文件中，customErrors元素配置结构的示例：

<configuration><system.web><customErrors><customErrors defaultRedirect="ErrorReport.aspx" mode="On|Off|RemoteOnly"><error statusCode="statuscode" redirect="url"/></customErrors>...

元素属性

Mod 属性选项

服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止查看应用程序错误的详细信息。

示例

下例指定了 应用程序的错误处理页。

<configuration><system.web><customErrors defaultRedirect="GenericError.htm" mode="RemoteOnly"><error statusCode="500" redirect="InternalError.htm"/></customErrors></system.web></configuration>

说明:

服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止查看应用程序错误的详细信息。

若要使他人能够从本地服务器计算机上查看此特定错误信息的详细信息，请在位于当前 Web 应用程序根目录下的“web.config”配置文件中创建一个<customErrors>标记。然后应将此<customErrors>标记的“mode”属性设置为“RemoteOnly”。若要使他人能够在远程计算机上查看详细信息，请将“mode”设置为“Off”。

通过修改应用程序的 配置标记的“defaultRedirect”属性，使之指向自定义错误页的 URL，可以用自定义错误页替换所看到的当前错误页。

参考文章

Web.Config配置文件中customErrors元素的使用方法

关于Web.Config中的mode属性问题

IIS Web.Config中customErrors的使用方法(mode=On|Off|RemoteOnly)

如果觉得《IIS错误页面隐藏版本信息 - Web.Config customErrors配置》对你有帮助，请点赞、收藏，并留下你的观点哦！