如何使用_logger.LogInformation/error与安全性(开发安全性)？

Question

我在代码_logger.LogInformation($"...")中使用它来保存敏感数据，但是我知道如何在开发安全中使用它，因为OWASP说要保护敏感数据。我需要用密码来记录这个吗？

Answer 1

如果有服务器错误，只要在服务器上记录错误，就可以自由地记录错误。不要将错误输出回客户端--最终用户应该尽可能少地了解所发生的事情(除非这是验证问题)。

例如:如果用户向电话字段输入一串字母。请随意返回错误

请输入有效的电话号码

如果他们单击一个按钮，服务器抛出一个异常，则将错误记录到您的服务器，但只通知客户端

发生错误。请稍后再试

当涉及到记录与个人信息相关的数据(应该保持安全的东西)时，最好记录一个引用。

一张糟糕的日志

用户John (john.doe@email.com)更改了他们的配置文件图片。

一根好的原木就像

拥有userId (21)的用户在2019-06-28 11:21:46改变了他们的个人资料图片。

这样，如果您需要查看日志来查看系统所做的事情，您就可以准确地看到系统在做什么，而无需透露任何个人数据。如果系统出现问题，可以使用引用(例如搜索ID为21的用户)查找与该帐户相关的信息。一个好的规则是“如果它不需要在那里，就不要储存它”。

我并不擅长写作，但我希望这能帮助您更好地理解如何在不存储PII /敏感数据的情况下进行日志记录。