我有我的自定义500.aspx设置,在我的应用程序中发生500错误时调用. 500.aspx还向我发送了一封包含错误详细信息的电子邮件.
我注意到一个小问题.
如果您尝试对500.aspx本身进行xss攻击,则不会调用500页.
这显然是某种逻辑问题.
实际上,微软本身也遇到了同样的问题.
在这里看到它
http://www.microsoft.com/500.aspx?aspxerrorpath=%3Cscript%3Ealert(%22XSS%22)%3C/script%3E
我怎么能阻止这个?
埃德
这种行为似乎是故意阻止攻击死亡的.甚至错误消息都表明这种行为:
Request Validation has detected a potentially dangerous client input value,and processing of the request has been aborted.
唯一的解决方法似乎是禁用验证或捕获和处理Application_Error上的全局错误.
