Paweł Goleń, blog

Na początek odsyłam do źródła: User Friendly ASP.NET Exception Handling. Koncepcja przechwytywania nieobsłużonych wyjątków i “robienia coś z nimi” nie jest może zła, ale:

• podawanie użytkownikowi dokładnych informacji na temat błędu jest ZŁE!
• ...a moduł wprowadza nową podatność...

Nie będę się rozpisywał, dlaczego podawanie tak szczegółowych informacji użytkownikom jest złe. Jeśli kogoś to interesuje: Error Handling, Auditing and Logging.

Ciekawe jest jednak to, co dzieje się w funkcji ExceptionToPage modułu ASPUnhandledException , która odpowiada za wyświetlenie użytkownikowi przyjaznego komunikatu błędu. W zasadzie ciekawsze jest to, co się tam nie dzieje. Brak jest mianowicie jakiegokolwiek encodingu, czyli automatycznie wraz z zainstalowaniem tego modułu i skonfigurowaniem go do obsługi wyjątków, pojawia się podatność na cross-site scripting.

Oryginał tego wpisu dostępny jest pod adresem Dobry przykład złego przykładu: User Friendly ASP.NET Exception Handling

Autor: Paweł Goleń