尽管customErrors部分，HttpRequestValidationException仍显示YSOD

Question

我们已经修改了我们的customErrors部分，以防止最近的ASP.NET漏洞。

我们的问题是，HttpRequestValidationException现在导致显示YSOD，其他异常和页面未找到错误正在显示我们的自定义错误页面。

如果我们将redirectMode更改为ResponseRedirect，则一切正常。

这是我们修改后的部分：

<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/Error.aspx"/>

这个问题与最近的ASP.NET漏洞无关！它是关于ResponseRewrite redirectMode和HttpRequestValidationException的组合。我们知道很快就会有一个补丁，我们可以改回ResponseRedirect。

好的问候，马丁

Answer 1

当您的错误页生成错误时，就会发生这种情况。

确保在错误页面上关闭了请求验证。<%@页面ValidateRequest="false“%>

然后，您当然需要对错误页面上显示的任何用户输入进行编码。例如：Server.HtmlEncode(ex.Message)