本文實例講述了asp.net MVC利用ActionFilterAttribute過濾關鍵字的方法。分享給大家供大家參考,具體如下:
在開發過程中,有時候會對用戶輸入進行過濾,以便保證平台的安全性。屏蔽的方法有很多種,但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實現。由於MVC天然支持AOP,所以我們這種過濾方式正好利用了MVC的這種特性。
下面請看步驟:
首先,當用戶輸入自己的名稱的時候,帶有類似<BR>的內容的時候,由於MVC默認是需要驗證內容的,所以,會拋出一張黃頁錯誤,提示用戶:從客戶端檢測到潛在風險的Request值。這種頁面是極為不友好的,同時也是我們作為開發最不想見到的頁面,屏蔽這個錯誤很簡單,就是在響應的頁面ActionResult上面加上[ValidateInput(false)]的特性,這樣當用戶提交的時候,頁面將不會再次對輸入內容做檢測。
如果容忍這樣的行為,將會對系統的安全性造成威脅,所以最好的解決方法就是講其中類似 <>等進行轉義。
下面我們就來利用ActionFilterAttribute構造自己的轉義過濾類:
using System.Web.Mvc;
using TinyFrame.Plugin.StrongTyped.Models;
namespace TinyFrame.Plugin.StrongTyped
{
public class FilterCharsAttribute : ActionFilterAttribute
{
protected string parameterName = "t";
protected TestModel model;
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
base.OnActionExecuting(filterContext);
//No Parameters, will return directly.
if(!filterContext.ActionParameters.ContainsKey(parameterName))
return;
var t = filterContext.ActionParameters[parameterName] as TestModel;
//No Entity data, will return directly
if (t == null)
return;
//Replace chars that should be filtered
if (!string.IsNullOrEmpty(t.TName))
t.TName = t.TName.Replace("<", "<").Replace(">", ">");
if (!string.IsNullOrEmpty(t.TSite))
t.TSite = t.TSite.Replace("<", "<").Replace(">", ">");
}
}
}
第8行,代表我們的用戶輸入的實體類參數,具體的Controller代碼如下:
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
第11行,通過重載OnActionExecuting方法,我們可以定義自己的Filter。
第19行,將獲取的Input結果轉換成entity。
第27,29行,將潛在的危險字符進行轉義。
這樣書寫完畢之後,我們就打造了一個可以過濾掉關鍵字的Filter了。如果想要做的通用的話,需要對輸入的filterContext.ActionParameters進行遍歷,並通過反射構建實例,再通過反射字段值,實現通用的關鍵字過濾。這裡我只提供思路,具體的做法就看自己了。
然後將這個方法加入到Controller中需要檢測的頁面的頭部,即可:
[ValidateInput(false)]
[FilterChars]
public ActionResult Index(TestModel t)
{
ViewData["ConvertedModel"] = t;
return View();
}
這樣,我們就完成了對輸入數據的過濾操作,下面看看結果吧:
我們可以清楚的看到,輸入結果,輸出後,一對尖角號被轉義了。
希望本文所述對大家asp.net程序設計有所幫助。
