Teilen über


CA5365: Überprüfung von HTTP-Headern nicht deaktivieren

Eigenschaft Wert
Regel-ID CA5365
Titel Überprüfung von HTTP-Headern nicht deaktivieren
Kategorie Security
Fix führt oder führt nicht zur Unterbrechung Nicht unterbrechend
Standardmäßig in .NET 8 aktiviert Nein

Ursache

Legen Sie EnableHeaderChecking auf false fest.

Regelbeschreibung

Die HTTP-Headerüberprüfung ermöglicht die Codierung der Wagenrücklauf- und Zeilenvorschubzeichen \r und \n, die sich in Antwortheadern finden. Mit dieser Codierung lassen sich Einschleusungsangriffe vermeiden, die eine Anwendung ausnutzen, die nicht vertrauenswürdige Daten im Header zurückgibt.

Behandeln von Verstößen

Legen Sie EnableHeaderChecking auf true fest. Oder entfernen Sie die Zuweisung für false, da der Standardwert true ist.

Wann sollten Warnungen unterdrückt werden?

HTTP-Header Fortsetzungen basieren auf Headern, die mehrere Zeilen umfassen, und erfordern neue Zeilen. Wenn Sie Header-Fortsetzungen verwenden müssen, müssen Sie die EnableHeaderChecking-Eigenschaft auf false festlegen. Die Überprüfung der Header wirkt sich auf die Leistung aus. Wenn Sie sicher sind, dass Sie bereits die richtigen Überprüfungen durchführen, kann das Deaktivieren dieses Features die Leistung der Anwendung verbessern. Bevor Sie dieses Feature deaktivieren, stellen Sie sicher, dass Sie in diesem Bereich bereits die richtigen Vorsichtsmaßnahmen treffen.

Unterdrücken einer Warnung

Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.

#pragma warning disable CA5365
// The code that's violating the rule is on this line.
#pragma warning restore CA5365

Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad in der Konfigurationsdatei auf none fest.

[*.{cs,vb}]
dotnet_diagnostic.CA5365.severity = none

Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.

Pseudocodebeispiele

using System;
using System.Web.Configuration;

class TestClass
{
    public void TestMethod()
    {
        HttpRuntimeSection httpRuntimeSection = new HttpRuntimeSection();
        httpRuntimeSection.EnableHeaderChecking = false;
    }
}

Lösung

using System;
using System.Web.Configuration;

class TestClass
{
    public void TestMethod()
    {
        HttpRuntimeSection httpRuntimeSection = new HttpRuntimeSection();
        httpRuntimeSection.EnableHeaderChecking = true;
    }
}