HttpRuntimeSection.EnableHeaderChecking Vlastnost
Definice
Důležité
Některé informace platí pro předběžně vydaný produkt, který se může zásadně změnit, než ho výrobce nebo autor vydá. Microsoft neposkytuje žádné záruky, výslovné ani předpokládané, týkající se zde uváděných informací.
Získá nebo nastaví hodnotu, která označuje, zda je povolena kontrola hlaviček.
public:
property bool EnableHeaderChecking { bool get(); void set(bool value); };[System.Configuration.ConfigurationProperty("enableHeaderChecking", DefaultValue=true)]
public bool EnableHeaderChecking { get; set; }[<System.Configuration.ConfigurationProperty("enableHeaderChecking", DefaultValue=true)>]
member this.EnableHeaderChecking : bool with get, setPublic Property EnableHeaderChecking As BooleanHodnota vlastnosti
trueje-li povolena kontrola hlaviček; v opačném případě . false Výchozí hodnota je true.
- Atributy
Příklady
Následující příklad ukazuje, jak použít EnableHeaderChecking vlastnost.
// Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " +
configSection.EnableHeaderChecking + "<br>");
// Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = true;
' Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " & _
configSection.EnableHeaderChecking & "<br>")
' Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = True
Poznámky
Účelem této vlastnosti je povolit kódování znaků \r\nnávratu a nového řádku a , které se nacházejí v hlavičce odpovědi.
V hlavičkách odchozí odpovědi se kódují znaky, které jsou reprezentovány kódy 0x1F a níže, a také znak 0x7F (znak odstranění). Jedinou výjimkou je, že znak 0x09 (znak tabulátoru) není nezměněný.
Toto kódování může pomoct vyhnout se útokům injektáže, které zneužívají aplikaci, která odráží nedůvěryhodná data obsažená v hlavičce.
Poznámka
Tato vlastnost se nevztahuje na samotný stavový řádek (stavový kód a popis stavu), ale měla by se vztahovat na jiné hlavičky. Přestože <httpRuntime> lze nastavit na libovolné úrovni, tato vlastnost je použitelná pouze na úrovni počítače a aplikace.
Pokud je truetato vlastnost výchozí, \r znaky nebo \n nalezené v hlavičce odpovědi se zakódují do %0d a %0a. Tím se porazí útoky pomocí injektáže hlaviček tím, že vložený materiál bude součástí stejné čáry záhlaví. To může narušit odpověď, ale nemělo by se otevřít vektory útoku proti klientovi. Vrátit zpět nedůvěryhodná data ale není v žádném případě dobrý nápad.
Důležité
Pokračování hlaviček HTTP závisí na hlavičkách přes více řádků a vyžadují v nich nové řádky. Pokud potřebujete použít pokračování záhlaví, musíte vlastnost nastavit EnableHeaderChecking na false. Vzhledem k tomu, že prohlížení hlaviček má vliv na výkon, pokud jste si jistí, že už provádíte správné kontroly, může vypnutí této funkce zlepšit výkon vaší aplikace. Než tuto funkci zakážete, ujistěte se, že už v této oblasti přijímáte správná opatření.
