HttpRuntimeSection.EnableHeaderChecking プロパティとは？ わかりやすく解説

.NET Framework クラス ライブラリ リファレンス

HttpRuntimeSection.EnableHeaderChecking プロパティ

メモ : このプロパティは、.NET Framework version 2.0 で新しく追加されたものです。

ヘッダー チェックが有効かどうかを示す値を取得または設定します。

名前空間: System.Web.Configuration
アセンブリ: System.Web (system.web.dll 内)
構文

Visual Basic (宣言)

Public Property EnableHeaderChecking As
 Boolean

Visual Basic (使用法)

Dim instance As HttpRuntimeSection
Dim value As Boolean

value = instance.EnableHeaderChecking

instance.EnableHeaderChecking = value

C#

public bool EnableHeaderChecking { get;
 set; }

C++

public:
property bool EnableHeaderChecking {
    bool get ();
    void set (bool value);
}

J#

/** @property */
public boolean get_EnableHeaderChecking ()

/** @property */
public void set_EnableHeaderChecking (boolean
 value)

JScript

public function get EnableHeaderChecking
 () : boolean

public function set EnableHeaderChecking
 (value : boolean)

プロパティ値
ヘッダー チェックが有効な場合は true。それ以外の場合は false。既定値は true です。

解説

このプロパティは、応答ヘッダーにある復帰文字 (\r) と改行文字 (\n) のエンコーディングを有効にすることを目的としています。これにより、ヘッダーに含まれる信頼されていないデータをエコーするアプリケーションを利用した注入攻撃を防止できます。

メモ

このプロパティはステータス ライン自体 (ステータス コードおよびステータス説明) には適用されませんが、その他のヘッダーには適用されます。httpRuntime 要素 (ASP.NET 設定スキーマ) は任意のレベルに設定できますが、このプロパティはマシン レベルとアプリケーション レベルだけに適用されます。

このプロパティが true (既定) の場合、応答ヘッダーの \r 文字または \n 文字は %0d と %0a にエンコードされます。これにより、同じヘッダー行の挿入されたマテリアル部分を作成することによるヘッダー注入攻撃を無効にできます。これにより応答が切断されることがありますが、クライアントに対する攻撃ベクタは開かれません。ただし、信頼されていないデータをエコー バックするのは、どのような場合でも得策ではありません。

重要 :

HTTP ヘッダーの継続は、複数行にわたるヘッダーに依存しており、改行文字を必要とします。ヘッダーの継続を使用するには、EnableHeaderChecking プロパティを false に設定する必要があります。ヘッダーを調べることによりパフォーマンスに影響があるので、適切な検査が行われていることが確かな場合は、この機能をオフにすることでアプリケーションのパフォーマンスを改善できます。この機能を無効にする前に、この分野で既に適切な対策を講じていることを確認してください。

使用例

EnableHeaderChecking プロパティを使用する方法を次のコード例に示します。

Visual Basic

' Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " & _
  configSection.EnableHeaderChecking & "<br>")

' Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = True

C#

// Get the EnableHeaderChecking property value.
Response.Write("EnableHeaderChecking: " +
  configSection.EnableHeaderChecking + "<br>");

// Set the EnableHeaderChecking property value to true.
configSection.EnableHeaderChecking = true;

プラットフォーム

Windows 98, Windows 2000 SP4, Windows Server 2003, Windows XP Media Center Edition, Windows XP Professional x64 Edition, Windows XP SP2, Windows XP Starter Edition

開発プラットフォームの中には、.NET Framework によってサポートされていないバージョンがあります。サポートされているバージョンについては、「システム要件」を参照してください。

バージョン情報

.NET Framework
サポート対象 : 2.0

参照

関連項目
HttpRuntimeSection クラス
HttpRuntimeSection メンバ
System.Web.Configuration 名前空間
その他の技術情報
httpRuntime 要素 (ASP.NET 設定スキーマ)
HTTP