Partager via

<clear>, élément de schemeSettings (paramètres d'URI)

  • Article

Efface tous les paramètres de schémas existants.

<clear/>

Attributs et éléments

Les sections suivantes décrivent des attributs, des éléments enfants et des éléments parents.

Attributs

Aucun

Éléments enfants

Aucun

Éléments parents

Élément

Description

<schemeSettings>, élément (paramètres d'URI)

Spécifie comment un Uri sera analysé pour des schémas spécifiques.

Notes

Par défaut, la classe System.Uri n'échappe pas les délimiteurs de chemin d'accès encodés de pourcentage avant d'exécuter la compression de chemin d'accès. Cela a été implémenté comme mécanisme de sécurité contre des attaques telles que les suivantes :

https://www.contoso.com/.. %2F.. %2F/Windows/System32/cmd.exe?/c+dir+c:\

Si cet URI est passé à des modules qui ne gèrent pas correctement les caractères encodés de pourcentage, il pourrait provoquer l'exécution de la commande suivante par le serveur :

c:\Windows\System32\cmd.exe /c dir c:\

Pour cette raison, la classe System.Uri place en premier les délimiteurs de chemin d'accès hors d'une séquence d'échappement puis applique la compression des chemin d'accès. Le résultat du passage de l'URL malveillante ci-dessus au constructeur de classe System.Uri provoque l'URI suivant :

https://www.microsoft.com/Windows/System32/cmd.exe?/c+dir+c:\\

Ce comportement par défaut peut être modifié pour échapper des délimiteurs de chemin d'accès encodés en pourcentage à l'aide de l'option de configuration schemeSettings pour un modèle spécifique.

Fichiers de configuration

Cet élément peut être utilisé dans le fichier de configuration de l'application ou dans le fichier de configuration machine (Machine.config).

Exemple

L'exemple de code suivant présente une configuration utilisée par la classe Uri qui efface tous les paramètres de schémas, puis ajoute une prise en charge visant à ne pas placer dans une séquence d'échappement les délimiteurs de chemin d'accès encodés en pourcentage pour le schéma HTTP.

<configuration>
  <uri>
    <schemeSettings>
      <clear/>
      <add name="http" genericUriParserOptions="DontUnescapePathDotsAndSlashes"/>
    </schemeSettings>
  </uri>
</configuration>

Voir aussi

Référence

Schéma des paramètres réseau

System.Configuration.SchemeSettingElement

System.Configuration.SchemeSettingElementCollection

System.Configuration.UriSection

UriSection.SchemeSettings

System.GenericUriParserOptions

System.Uri