本文實(shí)例講述了asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法��。分享給大家供大家參考�����,具體如下:
在開(kāi)發(fā)過(guò)程中���,有時(shí)候會(huì)對(duì)用戶(hù)輸入進(jìn)行過(guò)濾����,以便保證平臺(tái)的安全性���。屏蔽的方法有很多種���,但是今天我說(shuō)的這種主要是利用MVC中的ActionFilterAttribute屬性來(lái)實(shí)現(xiàn)。由于MVC天然支持AOP����,所以我們這種過(guò)濾方式正好利用了MVC的這種特性�����。
下面請(qǐng)看步驟:
首先�����,當(dāng)用戶(hù)輸入自己的名稱(chēng)的時(shí)候�,帶有類(lèi)似BR>的內(nèi)容的時(shí)候,由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的�,所以,會(huì)拋出一張黃頁(yè)錯(cuò)誤,提示用戶(hù):從客戶(hù)端檢測(cè)到潛在風(fēng)險(xiǎn)的Request值���。這種頁(yè)面是極為不友好的��,同時(shí)也是我們作為開(kāi)發(fā)最不想見(jiàn)到的頁(yè)面���,屏蔽這個(gè)錯(cuò)誤很簡(jiǎn)單,就是在響應(yīng)的頁(yè)面ActionResult上面加上[ValidateInput(false)]的特性����,這樣當(dāng)用戶(hù)提交的時(shí)候,頁(yè)面將不會(huì)再次對(duì)輸入內(nèi)容做檢測(cè)��。
如果容忍這樣的行為�����,將會(huì)對(duì)系統(tǒng)的安全性造成威脅����,所以最好的解決方法就是講其中類(lèi)似 >等進(jìn)行轉(zhuǎn)義。
下面我們就來(lái)利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過(guò)濾類(lèi):
using System.Web.Mvc;
using TinyFrame.Plugin.StrongTyped.Models;
namespace TinyFrame.Plugin.StrongTyped
{
public class FilterCharsAttribute : ActionFilterAttribute
{
protected string parameterName = "t";
protected TestModel model;
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
base.OnActionExecuting(filterContext);
//No Parameters, will return directly.
if(!filterContext.ActionParameters.ContainsKey(parameterName))
return;
var t = filterContext.ActionParameters[parameterName] as TestModel;
//No Entity data, will return directly
if (t == null)
return;
//Replace chars that should be filtered
if (!string.IsNullOrEmpty(t.TName))
t.TName = t.TName.Replace("", "lt").Replace(">", "gt");
if (!string.IsNullOrEmpty(t.TSite))
t.TSite = t.TSite.Replace("", "lt").Replace(">", "gt");
}
}
}
第8行�,代表我們的用戶(hù)輸入的實(shí)體類(lèi)參數(shù),具體的Controller代碼如下:
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
第11行����,通過(guò)重載OnActionExecuting方法��,我們可以定義自己的Filter�。
第19行��,將獲取的Input結(jié)果轉(zhuǎn)換成entity�。
第27,29行,將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義��。
這樣書(shū)寫(xiě)完畢之后���,我們就打造了一個(gè)可以過(guò)濾掉關(guān)鍵字的Filter了��。如果想要做的通用的話(huà),需要對(duì)輸入的filterContext.ActionParameters進(jìn)行遍歷����,并通過(guò)反射構(gòu)建實(shí)例,再通過(guò)反射字段值�,實(shí)現(xiàn)通用的關(guān)鍵字過(guò)濾。這里我只提供思路����,具體的做法就看自己了����。
然后將這個(gè)方法加入到Controller中需要檢測(cè)的頁(yè)面的頭部�����,即可:
[ValidateInput(false)]
[FilterChars]
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
這樣���,我們就完成了對(duì)輸入數(shù)據(jù)的過(guò)濾操作��,下面看看結(jié)果吧:
我們可以清楚的看到��,輸入結(jié)果�,輸出后��,一對(duì)尖角號(hào)被轉(zhuǎn)義了����。
希望本文所述對(duì)大家asp.net程序設(shè)計(jì)有所幫助。
您可能感興趣的文章:- 詳解.Net Core 權(quán)限驗(yàn)證與授權(quán)(AuthorizeFilter��、ActionFilterAttribute)
- ASP.NET MVC使用ActionFilterAttribute實(shí)現(xiàn)權(quán)限限制的方法(附demo源碼下載)
- .NET獲取枚舉DescriptionAttribute描述信息性能改進(jìn)的多種方法
- 關(guān)于.NET Attribute在數(shù)據(jù)校驗(yàn)中的應(yīng)用教程
