.NET 9 中 HttpClient 事件源的 URI 查询参数隐私保护机制解析

于 2025-06-10 09:04:56 发布
阅读量270 收藏 10
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00089/article/details/148549770

.NET 9 中 HttpClient 事件源的 URI 查询参数隐私保护机制解析

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

引言

在现代网络应用开发中,日志记录是诊断问题和监控系统行为的重要手段。然而,日志中可能无意间记录敏感信息,特别是当涉及到 HTTP 请求的完整 URL 时,查询字符串(query string)常常会包含诸如 API 密钥、用户令牌等敏感数据。.NET 9 针对这一问题引入了重要的隐私保护改进。

背景知识

在 .NET 中,HttpClientSocketsHttpHandler 会通过 EventSource 机制发出各种事件,这些事件对于调试网络请求非常有用。EventSource 是 .NET 提供的高性能事件日志系统,名称空间为 System.Net.Http

变更内容

旧版行为

在 .NET 9 之前,这些事件会完整记录 HTTP 请求的 URL,包括查询字符串和片段(fragment)部分。例如:

https://api.example.com/data?apikey=12345&user=admin#section1

新版行为

从 .NET 9 Preview 7 开始,默认情况下,事件中的查询字符串和片段部分会被替换为单个星号(*),变成:

https://api.example.com/data*

这种修改会影响以下关键事件和参数:

  • RequestStart 事件中的 pathAndQuery 参数
  • Redirect 事件中的 redirectUri 参数

技术实现细节

这项变更通过简单的字符串处理实现,性能开销极小。系统会在记录事件前,检查 URL 中是否包含问号(?)或井号(#),如果存在,则将其后的所有内容替换为星号。

为什么需要这项变更

  1. 隐私保护:查询字符串常包含敏感信息,如会话令牌、API密钥等
  2. 合规要求:许多隐私法规要求对日志中的敏感信息进行脱敏处理
  3. 安全最佳实践:减少敏感信息在日志中的暴露面
  4. 统一处理:虽然片段部分通常不包含敏感信息,但为简化实现一并处理

如何控制这一行为

如果您的应用场景确实需要记录完整的 URL,可以通过以下方式禁用这一隐私保护功能:

方法一:项目文件配置

.csproj 文件中添加:

<ItemGroup>
  <RuntimeHostConfigurationOption 
    Include="System.Net.Http.DisableUriRedaction" 
    Value="true" />
</ItemGroup>

方法二:runtimeconfig.json 配置

{
  "runtimeOptions": {
    "configProperties": {
      "System.Net.Http.DisableUriRedaction": true
    }
  }
}

方法三:环境变量

设置环境变量:

DOTNET_SYSTEM_NET_HTTP_DISABLEURIREDACTION=true


DOTNET_SYSTEM_NET_HTTP_DISABLEURIREDACTION=1

注意事项

  1. 启用完整 URL 记录前,请确保不会泄露敏感信息
  2. 此设置同时会影响 IHttpClientFactory 的默认日志行为
  3. 生产环境中建议保持默认的脱敏设置
  4. 调试阶段可以临时启用完整 URL 记录

最佳实践建议

  1. 开发环境:可以禁用脱敏以便调试
  2. 测试环境:建议启用脱敏,模拟生产环境
  3. 生产环境:必须保持脱敏启用
  4. 敏感操作:即使禁用脱敏,也应避免在查询字符串中传递真正敏感的信息

总结

.NET 9 的这一变更体现了微软对开发者隐私保护需求的重视。通过默认脱敏查询字符串,大幅降低了敏感信息意外泄露的风险,同时提供了灵活的配置选项满足特殊场景需求。作为开发者,我们应当理解并善用这一特性,在功能需求和隐私保护之间取得平衡。

docs This repository contains .NET Documentation. docs 项目地址: https://gitcode.com/gh_mirrors/docs2/docs

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

.NET 9 的新功能:全面概述
分享各种技术文章,给大家带来不一样的视野。
05-13 789
NET 9带来了重大更新和新功能,使开发人员能够更轻松地构建现代化的高性能应用程序。最新版本的 .NET 继续增强性能,简化开发人员的生产力,并改进了框架与云和容器化环境的集成。让我们深入了解 .NET 9 的主要亮点。
.NET 团队公布.NET 9开发目标 并发布.NET9的首个预览版
dotNET跨平台
02-15 822
在一篇博文中我们对 .NET 9 的愿景[1]: .NET团队概述了.NET 9的开发目标和最终愿景,涵盖两大重点领域:云原生和智能应用程序开发。它在继.NET 8之后,继续强化对云原生应用和性能的支持。.NET 9预览版1已经在2024年2月13日发布,与往常一样,.NET 9 将在整个平台上提供性能、生产力、安全性和其他改进。.NET 9 的重点领域包括:云原生开发者平台:.NET 9对运行时...
.NET 9 优化,抢先体验 C# 13 新特性
DotNet技术匠
08-20 4877
微软即将在 2024年11月12日发布 .NET 9 的最终版本,而08月09日发布的.NET 9 Preview 7 是最终发布前的最后一个预览版。这个版本将与.NET Conf 2024一同亮相,并已与 Visual Studio 2022 17.12 预览版1一同发布,可以直接通过Visual Studio安装。同时Visual Studio Code 和 C# Dev Kit 扩展也支持.NET 9
.net9
程序狗的成长之路
08-09 963
1.1 File类,是一个静态类,支持对文件的基本操作,包括创建,拷贝,移动,删除和打开一个文件。File类方法的参量很多时候都是路径path。主要提供有关文件的各种操作,在使用时需要引用System.IO命名空间。 1.2 FileStream文件流 只能处理原始字节(raw byte)。FileStream 类可以用于任何数据文件,而不仅仅是文本文件。FileStream 对象可以用...
.NET 9
百态老人的博客
11-17 1128
NET 9 是微软推出的一个重大版本,被形容为“最高效、最现代、最安全、最智能、性能最高的”新版本。它于 2024 年 11 月 13 日正式发布,在功能上做出了数千项的改进,专为云原生应用和生成式 AI 应用而设计。在性能方面,.NET 9 对运行时、工作负载和语言进行了 1000 余项与性能相关的优化。
.NET 9 发布了,有哪些令人激动的特性?
软件行业技术文化交流。
11-19 1943
NET 9 是微软宣布的最新版本,它被认为是迄今为止最高效、最现代、最安全、最智能、性能最高的 .NET 版本。
ASP.NET Core HttpClient流式传输数据
### 1.1 介绍ASP.NET Core中的HttpClient类及其在数据传输中的作用 在ASP.NET Core中,`HttpClient`类是用于发起HTTP请求和与Web服务器进行通信的重要工具。它提供了丰富的功能和方法,可以轻松地处理数据的发送和...
.net 实现微信授权第三方登录
03-13
.NET开发环境中,微信授权第三方登录是一个常见的功能需求,它允许用户通过微信账号进行快捷登录,提高用户体验。本文将深入探讨如何使用C#语言来实现这一功能,以及在这个过程中需要注意的关键知识点。 首先,...
ASP.NET C# 在微信网页授权中获取用户信息方法
- 在ASP.NET C#中,如何使用如HttpClient等网络请求库来调用微信API。 - 关于scope参数在获取用户信息时的作用与限制。 - 如何处理用户授权时的安全性问题,例如代码泄漏风险、用户隐私保护等。 以上知识点均是在...
数据访问技术演变解析.NET Framework 3.5 SP1数据访问技术深度剖析
![.NET Framework]...数据访问技术作为IT行业中的基石,伴随着软件开发的演进,持续发展与变革。从早期的文件系统,到关系型数据库管理系统
vb.net 邮件地址收集(网络蜘蛛)
07-21
在VB.NET编程中,邮件地址收集通常涉及到网络爬虫技术,这是一种自动抓取互联网上信息的程序。在这个过程中,开发人员编写代码来模拟用户浏览网页的行为,逐页解析HTML源码,查找并提取其中的电子邮件地址。以下是对...
.NET 9发布的最后一个预览版Preview 7, 下个月发布RC
dotNET跨平台
08-19 549
微软在2024年8月9日发布了.NET 9 Preview 7[1],这是它在2024 年 11 月 12 日RTM 之前进入发布候选阶段之前的最后预览版, 将在.NET Conf 2024 一起发布[3]。该预览版也于也与 Visual Studio 2022 17.12 预览版1一起发布,现在可以直接通过 Visual Studio 安装程序安装 .NET 9。还可以将 Visual St...
.NET 9 的10 个必知亮点
farway000的博客
05-06 661
概述:.NET 9 带来了许多出色的功能和改进,可以改变开发人员为云原生应用编写代码的方式,同时提高性能。1. 增强的 JSON 序列化选项.NET 9 中的序列化通过可自定义的 JSON 输出提供了更大的灵活性。现在,您可以轻松自定义缩进字符及其大小,以获得更易读的 JSON 文件。var options = new JsonSerializerOptions { WriteI...
本计划在 .NET 8 中推出的 WASI 推迟到 .NET 9
dotNET跨平台
10-03 387
本计划在 .NET 8 中推出的 WASI 已推迟到 .NET 9,请参阅 Github 上的 WASI 跟踪问题。在.NET 8 Preview 4 开始支持生成与 WASI 兼容的 .wasm 文件,使用独立的 WebAssembly 运行时 Wasmtime CLI[1] 运行该文件。去年的文章在 .NET 7上使用 WASM 和 WASI [2]介绍了 WebAssembly WASI...
.NET 9 首个预览版发布:瞄准云原生和智能应用开发
专注于C#/.NET/.NET Core学习、工作、面试干货和实战教程分享。这里聚焦了大量的C#/.NET/.NET Core优质文章、开源项目、实用工具和学习、工作、面试心得。
02-20 908
前不久.NET团队发布了.NET 9 的首个预览版,并且分享.NET团队对 .NET 9 的初步愿景,该愿景将于今年年底在 .NET Conf 2024 上发布。云原生和智能应用开发。
技术速递|.NET 9简介
最新发布
dotNET跨平台
12-06 387
点击蓝字关注我们今天,我们非常激动地宣布 .NET 9的发布,这是迄今为止最高效、最现代、最安全、最智能、性能最高的 .NET 版本。这是来自世界各地数千名开发人员又一年努力的成果。这个新版本包括数千项性能、安全和功能方面的改进。您会发现在整个 .NET 堆栈(编程语言、开发者工具和工作负载)都有了全面的增强,这使您能够使用统一平台进行构建并轻松地将 AI 融入您的应用程序。您现在可以下载 .NE...
.NET C# 9.0 record和with的定义及使用
weixin_42098295的博客
02-26 652
C# 9 引入record,它一种可以创建的新引用类型,而不是类或结构。 C# 10 添加了 record structs,以便可以将记录定义为值类型。 记录与类不同,区别在于record类型使用基于值的相等性。 两个记录类型的变量在它们的类型和值都相同时,它们是相等的。with 表达式在 C# 9.0 及更高版本中可用,使用修改的特定属性和字段生成其操作数的副本。本文主要介绍.NET C# 9.0 record和with的定义及使用。 原文地址:.NET C# 9.0 record和with的定义及使用
微软在数字浪潮中起航:揭秘.NET 9 的未来愿景
dotNET跨平台
02-16 295
尊敬的.NET 开发者们,您好!继不久前.NET 8 的辉煌推出之后,微软正式开启了新一轮的年度发布循环。微软推荐开发者们将应用迁移到.NET 8 。今天,我们激动地与您分享关于即将在2024年底.NET Conf大会上发布的.NET 9 的初步愿景。在微软的规划中,云原生和智能应用开发是.NET 9 的核心追求,微软将在性能、生产力和安全性方面进行重大投资,并在整个平台范围内推动...
.NET 9正式发布,亮点是.NET Aspire和AI
dotNET跨平台
11-13 1001
Microsoft 今天正式发布了 .NET 9,这是迄今为止最高效、最现代、最安全、最智能、性能最高的 .NET 版本。这是来自世界各地的数千名开发人员又一年努力的结果。此新版本包括数千项性能、安全性和功能改进。您将发现整个 .NET 堆栈中从编程语言、开发人员工具和工作负载的全面增强功能,使您能够使用统一平台进行构建,并轻松地将 AI 注入您的应用程序。.NET 9 的下载以及 Visual ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋韵庚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值