是否有任何理由不将 pdb 文件部署到生产 Web 服务器？

Question

我正在开发一个 ASP.NET 网站，我想部署 pdb 文件，因为当抛出意外异常时，我想用行号记录它们，以便我可以跟踪解决问题。

但我担心安全和性能。

如果我使用堆栈跟踪信息登录到网络服务器上的非公共文件并且不向用户显示它，那么在网络服务器上拥有 pdb 文件是否存在任何安全风险？

就性能而言，我知道当有 pdb 文件时处理异常会更昂贵，但目标是不出现任何异常，并且在它们发生的极少数情况下，以获得良好的跟踪数据，所以我们可以解决问题。

但我不清楚的一件事是：如果抛出并捕获了异常，我还要支付 pdb 罚款吗？我特别想到Response.Redirect 时抛出的ThreadAbortException。这是一个遗留应用程序，其中有很多作为正常程序流程的一部分，所以我只是捕获并忽略这些异常，但是 pdb 文件的存在是否会使这变得更加昂贵？还是 .NET 会忽略 pdb 文件，除非您要求堆栈跟踪（对于这个特殊的异常，我没有）？

除此之外，只要没有例外，除了我确实想详细了解的情况，将 pdb 文件部署到 Web 服务器是否会影响性能？

Answer 1

至于安全性，我看不出部署 PDB 有什么真正的问题。 PDB 只包含

• 源代码行和 IL 偏移之间的映射
• 当地人的名字
• 源文件的名称
• 与给定函数相关的using 指令列表

即使 PDB 信息被泄露，我也不会考虑任何敏感信息

就性能而言，仅仅存在 PDB 不会改变应用程序的执行逻辑。它仅与调试目的相关，正常执行不会与之交互

Answer 2

我同意 JaredPar 的观点，但您可能会认为，如果服务器被黑客入侵，他列出的大部分内容都可以让您的网站更容易反编译和逆向工程。

另一方面，在没有 PDB 的情况下进行逆向工程也相对容易（尽管需要做更多的工作），所以它只是一个很小的安全风险。此外，根据您网站的范围，逆向工程甚至可能不是问题。

Answer 3

您想要部署您希望获得额外调试好处的 PDB 文件，例如额外的信息行号，以及在抛出异常时用于堆栈跟踪的目的，以及应用程序的remote debugging。需要注意的是，使用 .pdb 调试时，异常处理往往会执行得较慢。