在ASP.NET中,有一个设置EnableHeaderChecking,确保在响应头中不输出CRLF(换行符)。 这可以防止可能的“响应分裂”攻击。
是否有经典的ASP页面的任何等效configuration – 特别是在IIS 5.1中?
我有一个经典的ASP中的大型Web应用程序,它出现了一些Response.Redirect调用不过滤用户input。 所以他们很容易受到响应分裂攻击。
解决scheme是更新所有这些页面,以便过滤用户input。 在服务器级别是否有任何设置来防止(或编码)应答头中的换行符?
IIS 5.1没有简单的方法来改变响应头。 如果你想写一个ISAPI扩展,你可以这样做,但是升级到Win7 / 2008(IIS7)和使用HTTP模块可能会更容易一些。
如果升级到IIS7不是一个选项,那么最好在CleanResponseRedirect(url)这样的代码中编写一个帮助器方法,它可以在Response.Redirect之前为你做清理工作。 然后用CleanResponseRedirect()replace所有的response.redirects。