已禁用标头检查¶

ID: cs/web/disabled-header-checking
Kind: problem
Security severity: 6.1
Severity: warning
Precision: high
Tags:
   - security
   - external/cwe/cwe-113
Query suites:
   - csharp-code-scanning.qls
   - csharp-security-extended.qls
   - csharp-security-and-quality.qls

点击以在 CodeQL 代码库中查看查询

此规则查找代码中禁用标头检查的位置。启用标头检查（默认设置）后，会在响应标头中找到的 \r 或 \n 字符编码为 %0d 和 %0a。这会阻止标头注入攻击，方法是使注入的材料成为同一标头行的一部分。如果禁用标头检查，则会打开针对客户端代码的潜在攻击途径。

建议¶

不要禁用标头检查。

参考¶

MSDN。 HttpRuntimeSection.EnableHeaderChecking 属性。
常见弱点枚举： CWE-113。

©GitHub, Inc.
条款
隐私