在生产环境中输出错误信息是否安全?

WBOY
Lepaskan: 2023-03-01 22:20:02
asal
836 orang telah melayarinya

通过头部发送比较详细的错误信息给前端是否会造成安全隐患?错误信息包含了发生错误的文件的相对路径和发生错误的行号,如下:

<code>header('X-Custom-Msg : Can not find something in App.php on line 122');</code>
Salin selepas log masuk
Salin selepas log masuk

回复内容:

通过头部发送比较详细的错误信息给前端是否会造成安全隐患?错误信息包含了发生错误的文件的相对路径和发生错误的行号,如下:

<code>header('X-Custom-Msg : Can not find something in App.php on line 122');</code>
Salin selepas log masuk
Salin selepas log masuk

在经过了双十一支付宝的"unionpay"错误事件之后还认为这种错误信息打到前端是安全的么...严重起来小心公司被告上法庭哦, 那就不是丢饭碗的问题了 (手动滑稽)

详见:
http://finance.sina.com.cn/ro...
https://www.zhihu.com/questio...

所以, 都说了生产环境了, 就不要往前端输出任何后端错误信息!! 要输出的必须是封装过的信息, 对用户友好的信息! 哪怕这个是打在HTTP头上的, 谁知道你们哪天前端或者APP端不负责任或者就是单纯的没有捕获错误而直接一股脑儿输出出来了呢

无论敏不敏感,只要是向客户端发送的信息,都尽量避免这样的处理方式。
(1)影响用户体验:这样的信息普通用户不懂,仅仅知道出了问题,但是不知道具体是什么问题,也不知道要不要解决。
(2)存在安全风险:对于cracker来说,看到了这样的信息,很可能进而推测出,使用了什么服务器,使用的什么样的后端架构,而渗透就埋下了伏笔。

不存在危险。但是做法欠妥,还是集中存日志比较好。

不会的,这个不是敏感信息,密码 用户信息才是敏感信息

生产环境下面方便调试,不会有啥问题的。信息也不是什么敏感信息

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan