本文實(shí)例講述了asp.net MVC利用ActionFilterAttribute過濾關(guān)鍵字的方法。分享給大家供大家參考��,具體如下:
在開發(fā)過程中����,有時候會對用戶輸入進(jìn)行過濾�,以便保證平臺的安全性�。屏蔽的方法有很多種��,但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實(shí)現(xiàn)。由于MVC天然支持AOP���,所以我們這種過濾方式正好利用了MVC的這種特性。
下面請看步驟:
首先����,當(dāng)用戶輸入自己的名稱的時候�,帶有類似BR>的內(nèi)容的時候�,由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的,所以,會拋出一張黃頁錯誤���,提示用戶:從客戶端檢測到潛在風(fēng)險(xiǎn)的Request值�。這種頁面是極為不友好的�����,同時也是我們作為開發(fā)最不想見到的頁面���,屏蔽這個錯誤很簡單����,就是在響應(yīng)的頁面ActionResult上面加上[ValidateInput(false)]的特性���,這樣當(dāng)用戶提交的時候,頁面將不會再次對輸入內(nèi)容做檢測��。
如果容忍這樣的行為���,將會對系統(tǒng)的安全性造成威脅����,所以最好的解決方法就是講其中類似 >等進(jìn)行轉(zhuǎn)義���。
下面我們就來利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過濾類:
using System.Web.Mvc;
using TinyFrame.Plugin.StrongTyped.Models;
namespace TinyFrame.Plugin.StrongTyped
{
public class FilterCharsAttribute : ActionFilterAttribute
{
protected string parameterName = "t";
protected TestModel model;
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
base.OnActionExecuting(filterContext);
//No Parameters, will return directly.
if(!filterContext.ActionParameters.ContainsKey(parameterName))
return;
var t = filterContext.ActionParameters[parameterName] as TestModel;
//No Entity data, will return directly
if (t == null)
return;
//Replace chars that should be filtered
if (!string.IsNullOrEmpty(t.TName))
t.TName = t.TName.Replace("", "lt").Replace(">", "gt");
if (!string.IsNullOrEmpty(t.TSite))
t.TSite = t.TSite.Replace("", "lt").Replace(">", "gt");
}
}
}
第8行����,代表我們的用戶輸入的實(shí)體類參數(shù)����,具體的Controller代碼如下:
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
第11行���,通過重載OnActionExecuting方法�����,我們可以定義自己的Filter��。
第19行��,將獲取的Input結(jié)果轉(zhuǎn)換成entity。
第27,29行�,將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義����。
這樣書寫完畢之后�����,我們就打造了一個可以過濾掉關(guān)鍵字的Filter了�����。如果想要做的通用的話,需要對輸入的filterContext.ActionParameters進(jìn)行遍歷��,并通過反射構(gòu)建實(shí)例�,再通過反射字段值,實(shí)現(xiàn)通用的關(guān)鍵字過濾���。這里我只提供思路�,具體的做法就看自己了��。
然后將這個方法加入到Controller中需要檢測的頁面的頭部�����,即可:
[ValidateInput(false)]
[FilterChars]
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
這樣,我們就完成了對輸入數(shù)據(jù)的過濾操作����,下面看看結(jié)果吧:
我們可以清楚的看到,輸入結(jié)果��,輸出后��,一對尖角號被轉(zhuǎn)義了�。
希望本文所述對大家asp.net程序設(shè)計(jì)有所幫助�����。
您可能感興趣的文章:- 詳解.Net Core 權(quán)限驗(yàn)證與授權(quán)(AuthorizeFilter、ActionFilterAttribute)
- ASP.NET MVC使用ActionFilterAttribute實(shí)現(xiàn)權(quán)限限制的方法(附demo源碼下載)
- .NET獲取枚舉DescriptionAttribute描述信息性能改進(jìn)的多種方法
- 關(guān)于.NET Attribute在數(shù)據(jù)校驗(yàn)中的應(yīng)用教程
