ASP.NET中的RedirectMode安全漏洞

Question

In Scott Guthries blog on the ASP.NET Security vulnerability noted here他说，对于ASP.NET 3.5 SP1+，应该在自定义错误部分中设置以下属性

redirectMode="ResponseRewrite"

这与漏洞相关的意义是什么?为什么只有3.5 SP1或更高？

Answer 1

ResponseRedirect向攻击者提供提供重定向报头所需时间的信息。

ResponseRewrite没有返回重定向报头，所以攻击者这次并不知道。

攻击者可以利用这个延迟时间来找出哪种类型的错误，因此Scott给出了一个具有随机延迟的error.aspx页面示例。如果你不使用ResponceRewrite，那么这个延迟是没有意义的。

为什么只有3.5 SP1和更高版本，因为在以前的版本中不存在

Answer 2

为什么只有3.5 SP1或更高？因为该属性在此之前并不存在。

设置该属性会更改错误页的呈现方式。默认值(ResponseRedirect)会导致服务器发出到错误页的重定向。建议的ResponseRewrite值会导致写回响应，而不是请求的内容-而不会将用户重定向到不同的Uri。至少，这是我对它的理解。

该属性的MSDN文档是here...