.net如何确保不会泄露安全信息

ASP.NET同以前的ASP一样，当服务器上发生了一个运行时间或编译时间错误时，就会生成一个html 错误页面。但是与ASP不同，ASP.NET格外关注的是：要确保在默认状态下，不会因为这个错误的发生而泄露“安全”信息。尤其是如果你从一个远程机器上点击服务器的话。“out of the box”型的错误处理设置将不会导致显示远程机器的编译器信息、泄露配置信息、文件名、堆栈记录 、源代码或线性数据。相反，远程用户只会看到一个如“发生了应用程序错误”的普通信息。要想查看错误细节，用户必须要：1）从本地服务器再次点击页面，或者是 2）在机器或应用程序的config.web文件中修改配置的设置来允许远程访问：

<configuration> <customerrors mode="off" /> </configuration>

我们希望通过将默认状态设置成我们不得不“安全”的样子，从而能够最终帮助保护应用程序的完整性和安全性。并且由此纠正许多ASP开发人员—特别是ASP管理人员都在反映的一个共同的抱怨/担心）。