在Security Checklist: .NET Framework 2.0
中其中一项是:
使用结构化异常处理而不是返回错误代码。
对我来说,返回错误代码和描述/消息,特别是非管理员或生产,似乎更好/更安全,一种隐藏错误细节的方法,而不是返回完整的异常。
我错过了什么吗?
答案 0 :(得分:2)
他们可能不引用最终用户错误显示。
我认为他们的意思是你应该使用内部这样的错误处理。
指OWASP的portion。这里的区别在于使用例外 VS 返回代码之类的对象。正如指南所述,使用异常之类的对象意味着您可以更可靠的方式覆盖所有案例。
向最终用户公开哪些数据的问题将是一个完全独立的问题。 注意:Microsoft Document中有2行。
不会泄露系统或敏感的应用程序信息。只要 通用错误消息将返回给最终用户。