HttpRuntimeSection.EnableHeaderChecking Vlastnost
Definice
Důležité
Některé informace platí pro předběžně vydaný produkt, který se může zásadně změnit, než ho výrobce nebo autor vydá. Microsoft neposkytuje žádné záruky, výslovné ani předpokládané, týkající se zde uváděných informací.
Získá nebo nastaví hodnotu, která označuje, zda je povolena kontrola záhlaví.
public:
property bool EnableHeaderChecking { bool get(); void set(bool value); };[System.Configuration.ConfigurationProperty("enableHeaderChecking", DefaultValue=true)]
public bool EnableHeaderChecking { get; set; }[<System.Configuration.ConfigurationProperty("enableHeaderChecking", DefaultValue=true)>]
member this.EnableHeaderChecking : bool with get, setPublic Property EnableHeaderChecking As BooleanHodnota vlastnosti
trueje-li povolena kontrola hlaviček; v opačném případě . false Výchozí hodnota je true.
- Atributy
Příklady
Následující příklad ukazuje, jak použít EnableHeaderChecking vlastnost.
// Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " +
configSection.EnableHeaderChecking + "<br>");
// Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = true;
' Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " & _
configSection.EnableHeaderChecking & "<br>")
' Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = True
Poznámky
Účelem této vlastnosti je povolit kódování znaků návratu na začátek řádku a newline \r a \n, které jsou nalezeny v hlavičce odpovědi.
V hlavičkách odchozích odpovědí jsou znaky reprezentované kódy 0x1F a níže kódovány a také znak 0x7F (odstranit znak). Jedinou výjimkou je, že znak 0x09 (znak tabulátoru) nenímodifikovaný.
Toto kódování může pomoct vyhnout se útokům prostřednictvím injektáže, které zneužívají aplikaci, která odráží nedůvěryhodná data obsažená v hlavičce.
Poznámka:
Tato vlastnost se nevztahuje na samotný stavový řádek (stavový kód a popis stavu), ale měl by platit pro ostatní hlavičky. Ačkoli <httpRuntime> lze nastavit na libovolné úrovni, tato vlastnost je použitelná pouze na úrovni počítače a aplikace.
Pokud je tato vlastnost , což je truevýchozí, \r nebo \n znaky nalezené v hlavičce odpovědi jsou kódovány do %0d a %0a. Tím se porazí útoky prostřednictvím injektáže hlaviček tím, že vložíte materiál na stejnou čáru záhlaví. Tím může dojít k přerušení odpovědi, ale nemělo by se otevřít vektory útoku vůči klientovi. Ozvěna zpět nedůvěryhodná data ale nikdy není vhodné v žádné situaci.
Důležité
Pokračování hlaviček HTTP závisí na záhlaví, která pokrývají více řádků a vyžadují v nich nové řádky. Pokud potřebujete použít pokračování záhlaví, je nutné nastavit EnableHeaderChecking vlastnost na false. Vzhledem k tomu, že při pohledu na hlavičky existuje dopad na výkon, pokud jste si jistí, že už provádíte správné kontroly, může vypnutí této funkce zlepšit výkon vaší aplikace. Než tuto funkci zakážete, ujistěte se, že už v této oblasti provádíte správná opatření.
