In Scott Guthries blog on the ASP.NET Security vulnerability noted here他说对于ASP.NET 3.5 SP1 +,应在自定义错误部分设置以下属性
redirectMode="ResponseRewrite"
这与漏洞相关的重要性是什么?为什么只有3.5 SP1及更高版本?
答案 0 :(得分:1)
ResponseRedirect 向攻击者提供了提供重定向标头所需时间的信息。
ResponseRewrite 没有返回重定向标头,因此攻击者此时不知道。
攻击者可以使用此延迟时间来查找出现何种错误,因此Scott会给出一个带有随机延迟的error.aspx页面示例。如果您不使用ResponceRewrite,则此延迟毫无意义。
为什么只有3.5 SP1及更高版本,因为以前的版本不存在。
答案 1 :(得分:0)
为什么只有3.5 SP1及以上?因为在此之前该属性不存在。
设置属性会更改错误页面的呈现方式。默认值(ResponseRedirect)会导致服务器向错误页面发出重定向。 ResponseRewrite的建议值会导致回写而不是请求的内容 - 而不会将用户重定向到其他Uri。至少,这就是我对它的理解。
该属性的MSDN文档为here ...