HttpRequestValidationException, показывающий YSOD несмотря на раздел customErrors

Question

мы изменили наш раздел customErrors для защиты от недавней уязвимости ASP.NET.

Наша проблема в том, что исключения HttpRequestValidationException теперь приводят к отображению YSOD, отображаются другие исключения и ошибки не найденных страницнаша пользовательская страница ошибок.

Если мы изменим redirectMode на ResponseRedirect, все будет нормально.

Это наш измененный раздел:

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/Error.aspx"/>

Этот вопрос не имеет ничего общего снедавняя уязвимость ASP.NET! Речь идет о RedirectMode ResponseRewrite в сочетании с HttpRequestValidationException.Мы знаем, что скоро будет патч, и что мы могли бы вернуться к ResponseRedirect.

С уважением, Мартин

Answer 1

Это происходит, когда ваша страница ошибок выдает ошибку.

Убедитесь, что вы отключили проверку запроса на своей странице ошибки.<% @ Page ValidateRequest = "false"%>

Затем вам, конечно, нужно закодировать любой пользовательский ввод, отображаемый на вашей странице ошибки.например.Server.HtmlEncode (ex.Message)