我已经研究了一段时间，得出的结论是，将EnableHeaderChecking设置为true实际上足以防止http头注入攻击。
查看“反射”的ASP.NET代码，我发现：
1.只有一种方法可以将自定义HTTP标头添加到HTTP响应中，即使用HttpResponse.AppendHeader方法

• HttpResponse.AppendHeader或者
• 创建HttpResponseHeader的示例（内部）
• 或调用HttpResponseHeader.MaybeEncodeHeader（对于IIS7WorkerRequests）
• 或分配其各自的属性（对于已知的头，如RedirectLocation或ContentType）
• HttpResponseHeader示例是在发送已知头（如RedirectLocation或ContentType）之前创建的（HttpResponse.GenerateResponseHeaders）
• HttpResponseHeader构造函数检查EnableheaderChecking设置，并在设置为true时调用HttpResponseHeader.MaybeEncodeHeader
• HttpResponseHeader.MaybeEncodeHeader正确编码换行符，使HTTP头注入攻击无法进行

这里有一个片段来大致演示我是如何测试的：

// simple http response splitting attack
Response.AddHeader("foo", "bar\n" + 
    // injected http response, bad if user provided
    "HTTP/1.1 200 OK\n" + 
    "Content-Length: 19\n" +
    "Content-Type: text/html\n\n" +
    "<html>danger</html>"
);

字符串
只有在显式关闭EnableHeaderChecking的情况下，上述操作才有效：

<httpRuntime enableHeaderChecking="false"/>

型
Fortify根本不考虑配置（显式设置EnableHeaderChecking没有效果），因此总是报告这些类型的问题。

AFAIK这就足够了，它应该被默认打开。
我认为Fortify只是在考虑深度防御，就像你在部署中改变配置一样。
我假设你没有严格地在你的配置中设置它，如果你有，也许Fortify不是那么聪明，认为我们的。

最好的确认方式是利用它：）

• 去拿一本《小提琴手》
• 拦截该请求
• 尝试注入新线路
• 查看您刚刚注入的新行是否在HTTP响应中。

EnableHeaderChecking仅适用于不受信任的数据。如果您将数据直接从Cookie传递到重定向，则可能会将生成的标头视为受信任，并且\r\n不会转义值。

Josef，HttpResponse.HttpHeader（）不是唯一一个不受信任的数据可以进入HTTP响应头的地方。
如果来自攻击者的任何数据包含回车符（或任何被解释为回车符的内容），则这些数据最终会出现在Cookie或HTTP重定向中，并可以写入新的标头。
总的来说，验证数据比坐在那里试图找出漏洞要好得多。很有可能，黑客在这方面比你我更擅长。