Dobry przykład złego przykładu: User Friendly ASP.NET Exception Handling

Na początek odsyłam do źródła: User Friendly ASP.NET Exception Handling. Koncepcja przechwytywania nieobsłużonych wyjątków i “robienia coś z nimi” nie jest może zła, ale:

Nie będę się rozpisywał, dlaczego podawanie tak szczegółowych informacji użytkownikom jest złe. Jeśli kogoś to interesuje: Error Handling, Auditing and Logging.

Ciekawe jest jednak to, co dzieje się w funkcji ExceptionToPage modułu ASPUnhandledException , która odpowiada za wyświetlenie użytkownikowi przyjaznego komunikatu błędu. W zasadzie ciekawsze jest to, co się tam nie dzieje. Brak jest mianowicie jakiegokolwiek encodingu, czyli automatycznie wraz z zainstalowaniem tego modułu i skonfigurowaniem go do obsługi wyjątków, pojawia się podatność na cross-site scripting.

Oryginał tego wpisu dostępny jest pod adresem Dobry przykład złego przykładu: User Friendly ASP.NET Exception Handling

Autor: Paweł Goleń