IIS7.5 Server.ClearError() не работает

Question

Я пытаюсь исправить уязвимость XSS, я окружил свой код блоком try catch для обработки HttpRequestValidationException.

Я не могу разделить весь код по причинам неприкосновенности частной жизни. Следующий код относится к функции, вызываемой в методе Page_Load() страницы ASP.NET.

Вот мой блок catch.

// A long try block was here ... 
    catch (HttpRequestValidationException) 
    { 
     // ASP.NET, let me handle this one. 
     Server.ClearError(); 

     Response.Write(Messages.ParameterValidationError); 
    } 

Это работает, как ожидалось на локальном хосте, но когда я опубликовать код на IIS, другой HttpRequestValidationException выбрасывается из временного класса asp.net (смотрите ниже).

Path to the wild class : '...\Temporary ASP.NET Files\<app_name>\5d4b8059\5739b33c\App_Web_n1jnrwmr.0.cs' 

Эта проблема также возникает на локальном хосте, когда я не использую Server.ClearError().

Мне нужно показать удобное сообщение об ошибке вместо этой страницы раздражающих исключений.

Любая помощь приветствуется, спасибо!

Answer 1

Почему вы не используете стандартный подход обработки ошибок ASP.NET для пользовательских ошибок в веб-конфигурации и не определяете страницу пользовательских ошибок? Если вы хотите зарегистрировать исключение в своем global.asax, добавьте метод Application_Error, который вызывается в необработанном исключении (см. Пример кода ниже).

Если вы не назовете «Server.ClearError()», то ASP.NET будет использовать страницу с ошибкой, определенную в пользовательских ошибках, и автоматически перенаправить пользователя.

protected void Application_Error(object sender, EventArgs args) 
{ 
    var exception = this.Server.GetLastError(); 
    Logger.Log(exception); 
} 

<system.web> 
     <customErrors mode="Off" defaultRedirect="~/error/notification"> 
     <!-- Required for HandleErrorFilter --> 
     <error statusCode="404" redirect="~/error/notfound" /> 
     </customErrors>