<remove>, élément de schemeSettings (paramètres d'URI)
Supprime un paramètre de schéma correspondant à un nom de schéma.
<remove
<name = "http|https"/>
/>
Attributs et éléments
Les sections suivantes décrivent des attributs, des éléments enfants et des éléments parents.
Attributs
Attribut |
Description |
|---|---|
name |
Nom de schéma pour lequel ce paramètre s'applique. Les seules valeurs prises en charge sont name="http" et name="https". |
Éléments enfants
Aucun
Éléments parents
Élément |
Description |
|---|---|
Spécifie comment un Uri sera analysé pour des schémas spécifiques. |
Notes
Par défaut, la classe System.Uri n'échappe pas les délimiteurs de chemin d'accès encodés de pourcentage avant d'exécuter la compression de chemin d'accès. Cela a été implémenté comme mécanisme de sécurité contre des attaques telles que les suivantes :
https://www.contoso.com/.. %2F.. %2F/Windows/System32/cmd.exe?/c+dir+c:\
Si cet URI est passé à des modules qui ne gèrent pas correctement les caractères encodés de pourcentage, il pourrait provoquer l'exécution de la commande suivante par le serveur :
c:\Windows\System32\cmd.exe /c dir c:\
Pour cette raison, la classe System.Uri place en premier les délimiteurs de chemin d'accès hors d'une séquence d'échappement puis applique la compression des chemin d'accès. Le résultat du passage de l'URL malveillante ci-dessus au constructeur de classe System.Uri provoque l'URI suivant :
https://www.microsoft.com/Windows/System32/cmd.exe?/c+dir+c:\\
Ce comportement par défaut peut être modifié pour échapper des délimiteurs de chemin d'accès encodés en pourcentage à l'aide de l'option de configuration schemeSettings pour un modèle spécifique.
Fichiers de configuration
Cet élément peut être utilisé dans le fichier de configuration de l'application ou dans le fichier de configuration machine (Machine.config).
Exemple
L'exemple de code suivant présente une configuration utilisée par la classe Uri qui supprime tous les paramètres de schémas pour le schéma HTTP.
<configuration>
<uri>
<schemeSettings>
<remove name="http"/>
</schemeSettings>
</uri>
</configuration>
Voir aussi
Référence
System.Configuration.SchemeSettingElement
System.Configuration.SchemeSettingElementCollection
System.Configuration.UriSection