溫馨提示:易賢網(wǎng)小編為您整理了“asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法”,方便廣大網(wǎng)友查閱��!
本文實(shí)例講述了asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法�。分享給大家供大家參考�,具體如下:
在開(kāi)發(fā)過(guò)程中�����,有時(shí)候會(huì)對(duì)用戶輸入進(jìn)行過(guò)濾,以便保證平臺(tái)的安全性����。屏蔽的方法有很多種,但是今天我說(shuō)的這種主要是利用MVC中的ActionFilterAttribute屬性來(lái)實(shí)現(xiàn)���。由于MVC天然支持AOP����,所以我們這種過(guò)濾方式正好利用了MVC的這種特性�。
下面請(qǐng)看步驟:
首先,當(dāng)用戶輸入自己的名稱的時(shí)候�,帶有類似<BR>的內(nèi)容的時(shí)候,由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的���,所以��,會(huì)拋出一張黃頁(yè)錯(cuò)誤�����,提示用戶:從客戶端檢測(cè)到潛在風(fēng)險(xiǎn)的Request值��。這種頁(yè)面是極為不友好的�����,同時(shí)也是我們作為開(kāi)發(fā)最不想見(jiàn)到的頁(yè)面���,屏蔽這個(gè)錯(cuò)誤很簡(jiǎn)單�����,就是在響應(yīng)的頁(yè)面ActionResult上面加上[ValidateInput(false)]的特性,這樣當(dāng)用戶提交的時(shí)候��,頁(yè)面將不會(huì)再次對(duì)輸入內(nèi)容做檢測(cè)���。
如果容忍這樣的行為����,將會(huì)對(duì)系統(tǒng)的安全性造成威脅�����,所以最好的解決方法就是講其中類似 <>等進(jìn)行轉(zhuǎn)義����。
下面我們就來(lái)利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過(guò)濾類:
using System.Web.Mvc;
using TinyFrame.Plugin.StrongTyped.Models;
namespace TinyFrame.Plugin.StrongTyped
{
public class FilterCharsAttribute : ActionFilterAttribute
{
protected string parameterName = "t";
protected TestModel model;
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
base.OnActionExecuting(filterContext);
//No Parameters, will return directly.
if(!filterContext.ActionParameters.ContainsKey(parameterName))
return;
var t = filterContext.ActionParameters[parameterName] as TestModel;
//No Entity data, will return directly
if (t == null)
return;
//Replace chars that should be filtered
if (!string.IsNullOrEmpty(t.TName))
t.TName = t.TName.Replace("<", "<").Replace(">", ">");
if (!string.IsNullOrEmpty(t.TSite))
t.TSite = t.TSite.Replace("<", "<").Replace(">", ">");
}
}
}
第8行�����,代表我們的用戶輸入的實(shí)體類參數(shù)�,具體的Controller代碼如下:
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
第11行�����,通過(guò)重載OnActionExecuting方法��,我們可以定義自己的Filter���。
第19行�,將獲取的Input結(jié)果轉(zhuǎn)換成entity�����。
第27,29行��,將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義���。
這樣書(shū)寫(xiě)完畢之后�����,我們就打造了一個(gè)可以過(guò)濾掉關(guān)鍵字的Filter了���。如果想要做的通用的話�,需要對(duì)輸入的filterContext.ActionParameters進(jìn)行遍歷��,并通過(guò)反射構(gòu)建實(shí)例��,再通過(guò)反射字段值��,實(shí)現(xiàn)通用的關(guān)鍵字過(guò)濾�����。這里我只提供思路�����,具體的做法就看自己了���。
然后將這個(gè)方法加入到Controller中需要檢測(cè)的頁(yè)面的頭部,即可:
[ValidateInput(false)]
[FilterChars]
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
這樣����,我們就完成了對(duì)輸入數(shù)據(jù)的過(guò)濾操作��,下面看看結(jié)果吧:
我們可以清楚的看到����,輸入結(jié)果���,輸出后�����,一對(duì)尖角號(hào)被轉(zhuǎn)義了�����。
希望本文所述對(duì)大家asp.net程序設(shè)計(jì)有所幫助�����。
由于各方面情況的不斷調(diào)整與變化�����,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考����,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!
公眾號(hào)
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試