В ASP.NET есть параметр EnableHeaderChecking, который гарантирует, что в заголовках ответов не будет выводиться CRLF (новые строки). Это предотвращает возможные атаки "разделения ответа".
Есть ли эквивалентная конфигурация для классических страниц ASP, особенно в IIS 5.1?
У меня есть большое веб-приложение в классическом ASP, и некоторые вызовы Response.Redirect не фильтруют вводимые пользователем данные. Таким образом, они уязвимы для атак разделения ответа.
Решение состоит в том, чтобы обновить все эти страницы, чтобы они фильтровали вводимые пользователем данные. Есть ли какие-либо настройки на уровне сервера для предотвращения (или кодирования) новых строк в заголовках ответов?
В IIS 5.1 нет простого способа изменить заголовки ответов. Если вы готовы написать расширение ISAPI, вы можете это сделать, но вам, вероятно, будет проще перейти на Win7 / 2008 (IIS7) и вместо этого использовать HTTP-модули.
Если обновление до IIS7 невозможно, вероятно, проще всего написать вспомогательный метод в коде, например CleanResponseRedirect (url), который может выполнять очистку за вас до Response.Redirect. Затем замените все ваши response.redirects на CleanResponseRedirect ().