<clear>-Element für schemeSettings (URI-Einstellungen)
Löscht alle vorhandenen Schemaeinstellungen.
<configuration>
<uri>
<schemeSettings>
<clear>
Syntax
<clear/>
Attribute und Elemente
In den folgenden Abschnitten werden Attribute sowie untergeordnete und übergeordnete Elemente beschrieben.
Attribute
Keine
Untergeordnete Elemente
Keine
Übergeordnete Elemente
Element | Beschreibung |
---|---|
<schemeSettings>-Element (URI-Einstellungen) | Gibt an, ob Uri auf bestimmte Schemen analysiert wird. |
Bemerkungen
Standardmäßig entfernt die System.Uri-Klasse die Escapezeichen für mit Prozentzeichen codierte Pfadtrennzeichen, bevor die Pfadkomprimierung ausgeführt wird. Dies wurde als Sicherheitsmechanismus vor Angriffen wie den folgenden implementiert:
http://www.contoso.com/..%2F..%2F/Windows/System32/cmd.exe?/c+dir+c:\
Wenn dieser URI an Module übergeben wird, die mit Prozentzeichen codierte Zeichen nicht ordnungsgemäß behandeln, könnte dies dazu führen, dass der folgende Befehl vom Server ausgeführt wird:
c:\Windows\System32\cmd.exe /c dir c:\
Aus diesem Grund entfernt die System.Uri-Klasse zuerst die Escapezeichen von den Pfadtrennzeichen und wendet dann die Pfadkomprimierung an. Das Ergebnis der Übergabe der oben genannten bösartigen URL an den System.Uri-Klassenkonstruktor führt zu folgendem URI:
http://www.microsoft.com/Windows/System32/cmd.exe?/c+dir+c:\
Dieses Standardverhalten kann mithilfe der Konfigurationsoption „schemeSettings“ für ein bestimmtes Schema so geändert werden, dass die Escapezeichen von mit Prozentzeichen codierten Pfadtrennzeichen nicht entfernt werden.
Konfigurationsdateien
Dieses Element kann in der Anwendungskonfigurationsdatei oder in der Computerkonfigurationsdatei ("Machine.config") verwendet werden.
Beispiel
Im folgenden Beispiel wird eine Konfiguration veranschaulicht, die von der Uri-Klasse verwendet wird. Damit werden alle Schemaeinstellungen gelöscht, und anschließend wird die Unterstützung für hinzugefügt, dass nicht als Prozentwert codierte Trennzeichen für das HTTP-Schema nicht mit Escapezeichen versehen werden.
<configuration>
<uri>
<schemeSettings>
<clear/>
<add name="http" genericUriParserOptions="DontUnescapePathDotsAndSlashes"/>
</schemeSettings>
</uri>
</configuration>