欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

在生产环境中输出错误信息是否安全?

程序员文章站 2022-05-04 08:13:28
...
通过头部发送比较详细的错误信息给前端是否会造成安全隐患?错误信息包含了发生错误的文件的相对路径和发生错误的行号,如下:
header('X-Custom-Msg : Can not find something in App.php on line 122');

回复内容:

通过头部发送比较详细的错误信息给前端是否会造成安全隐患?错误信息包含了发生错误的文件的相对路径和发生错误的行号,如下:

header('X-Custom-Msg : Can not find something in App.php on line 122');

在经过了双十一支付宝的"unionpay"错误事件之后还认为这种错误信息打到前端是安全的么...严重起来小心公司被告上法庭哦, 那就不是丢饭碗的问题了 (手动滑稽)

详见:
http://finance.sina.com.cn/ro...
https://www.zhihu.com/questio...

所以, 都说了生产环境了, 就不要往前端输出任何后端错误信息!! 要输出的必须是封装过的信息, 对用户友好的信息! 哪怕这个是打在HTTP头上的, 谁知道你们哪天前端或者APP端不负责任或者就是单纯的没有捕获错误而直接一股脑儿输出出来了呢

无论敏不敏感,只要是向客户端发送的信息,都尽量避免这样的处理方式。
(1)影响用户体验:这样的信息普通用户不懂,仅仅知道出了问题,但是不知道具体是什么问题,也不知道要不要解决。
(2)存在安全风险:对于cracker来说,看到了这样的信息,很可能进而推测出,使用了什么服务器,使用的什么样的后端架构,而渗透就埋下了伏笔。

不存在危险。但是做法欠妥,还是集中存日志比较好。

不会的,这个不是敏感信息,密码 用户信息才是敏感信息

生产环境下面方便调试,不会有啥问题的。信息也不是什么敏感信息

相关标签: php安全 php