6、Web应用程序中的安全向量 -- customErrors（适当的错误报告和堆栈跟踪）

　　几乎所有的网站在开发过程中都在web.config文件中设置了特性<customErrors mode="off">。

　　customErrors模式有3个可选的设置项：

　　　　on:服务器开发的最安全选项，因为它总是隐藏错误提示信息。

　　　　RemoteOnly:向大多数用户展示一般的错误提示信息，但向拥有服务器访问权限的用户展示完整的错误提示信息。

　　　　Off:最容易受到攻击的选项，它向访问网站的每个用户展示详细的信息。详细的错误信息可能会暴露应用程序的内部结构。

 

　　设置customErrors参数：　　　

<system.web>  
    <customErrors defaultRedirect="GenericError.htm" mode="RemoteOnly" xdt:Transform="Replace">
      <error statusCode="500" redirect="InternalError.htm"/>
    </customErrors>    
</system.web>

　　其中可以指定默认的错误页面，也可以针对特定的错误指定错误页面。