几乎所有的网站在开发过程中都在web.config文件中设置了特性<customErrors mode="off">。
customErrors模式有3个可选的设置项:
on:服务器开发的最安全选项,因为它总是隐藏错误提示信息。
RemoteOnly:向大多数用户展示一般的错误提示信息,但向拥有服务器访问权限的用户展示完整的错误提示信息。
Off:最容易受到攻击的选项,它向访问网站的每个用户展示详细的信息。详细的错误信息可能会暴露应用程序的内部结构。
设置customErrors参数:
<system.web>
<customErrors defaultRedirect="GenericError.htm" mode="RemoteOnly" xdt:Transform="Replace">
<error statusCode="500" redirect="InternalError.htm"/>
</customErrors>
</system.web>
其中可以指定默认的错误页面,也可以针对特定的错误指定错误页面。