为了账号安全,请及时绑定邮箱和手机立即绑定

在生产环境中输出错误信息是否安全?

/ 猿问

在生产环境中输出错误信息是否安全?

慕婉清6462132 2018-10-03 21:39:13

通过头部发送比较详细的错误信息给前端是否会造成安全隐患?错误信息包含了发生错误的文件的相对路径和发生错误的行号,如下:

header('X-Custom-Msg : Can not find something in App.php on line 122');


查看完整描述

2 回答

?
慕少森

无论敏不敏感,只要是向客户端发送的信息,都尽量避免这样的处理方式。
(1)影响用户体验:这样的信息普通用户不懂,仅仅知道出了问题,但是不知道具体是什么问题,也不知道要不要解决。
(2)存在安全风险:对于cracker来说,看到了这样的信息,很可能进而推测出,使用了什么服务器,使用的什么样的后端架构,而渗透就埋下了伏笔。

查看完整回答
反对 回复 2018-10-10
?
12345678_0001

在经过了双十一支付宝的"unionpay"错误事件之后还认为这种错误信息打到前端是安全的么...严重起来小心公司被告上法庭哦, 那就不是丢饭碗的问题了 (手动滑稽)

详见: 
http://finance.sina.com.cn/ro...
https://www.zhihu.com/questio...

所以, 都说了生产环境了, 就不要往前端输出任何后端错误信息!! 要输出的必须是封装过的信息, 对用户友好的信息! 哪怕这个是打在HTTP头上的, 谁知道你们哪天前端或者APP端不负责任或者就是单纯的没有捕获错误而直接一股脑儿输出出来了呢


查看完整回答
反对 回复 2018-10-10

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信