透過頭部發送比較詳細的錯誤訊息給前端是否會造成安全隱患?錯誤訊息包含了發生錯誤的檔案的相對路徑和發生錯誤的行號,如下:
<code>header('X-Custom-Msg : Can not find something in App.php on line 122');</code>透過頭部發送比較詳細的錯誤訊息給前端是否會造成安全隱患?錯誤訊息包含了發生錯誤的檔案的相對路徑和發生錯誤的行號,如下:
<code>header('X-Custom-Msg : Can not find something in App.php on line 122');</code>
在經過了雙十一支付寶的"unionpay"錯誤事件之後還認為這種錯誤訊息打到前端是安全的麼...嚴重起來小心公司被告上法庭哦, 那就不是丟飯碗的問題了(手動滑稽)
詳見:
http://finance.sina.com.cn/ro...
https://www.zhihu.com/questio...
所以, 都說了生產環境了, 就不要往前端輸出任何後端錯誤訊息!! 要輸出的必須是封裝過的信息, 對用戶友好的信息! 哪怕這個是打在HTTP頭上的, 誰知道你們哪天前端或APP端不負責任或是單純的沒有捕捉錯誤而直接一股腦兒輸出出來了呢
無論敏不敏感,只要是傳送給客戶的訊息,都盡量避免這樣的處理方式。
(1)影響使用者體驗:這樣的資訊一般使用者不懂,僅僅知道出了問題,但是不知道具體是什麼問題,也不知道要不要解決。
(2)存在安全風險:對於cracker來說,看到了這樣的訊息,很可能進而推測出,使用了什麼伺服器,使用的什麼樣的後端架構,而滲透就埋下了伏筆。
不存在危險。但做法欠妥,還是集中存日誌比較好。
不會的,這個不是敏感訊息,密碼 使用者資訊才是敏感資訊
生產環境下面方便調試,不會有啥問題的。資訊也不是什麼敏感資訊
