欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法

 更新時(shí)間:2016年03月31日 11:33:04   作者:程序詩(shī)人  
這篇文章主要介紹了asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法,結(jié)合實(shí)例形式分析了ActionFilterAttribute過(guò)濾關(guān)鍵字的原理與相關(guān)實(shí)現(xiàn)技巧,需要的朋友可以參考下

本文實(shí)例講述了asp.net MVC利用ActionFilterAttribute過(guò)濾關(guān)鍵字的方法。分享給大家供大家參考,具體如下:

在開(kāi)發(fā)過(guò)程中,有時(shí)候會(huì)對(duì)用戶輸入進(jìn)行過(guò)濾,以便保證平臺(tái)的安全性。屏蔽的方法有很多種,但是今天我說(shuō)的這種主要是利用MVC中的ActionFilterAttribute屬性來(lái)實(shí)現(xiàn)。由于MVC天然支持AOP,所以我們這種過(guò)濾方式正好利用了MVC的這種特性。

下面請(qǐng)看步驟:

首先,當(dāng)用戶輸入自己的名稱(chēng)的時(shí)候,帶有類(lèi)似<BR>的內(nèi)容的時(shí)候,由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的,所以,會(huì)拋出一張黃頁(yè)錯(cuò)誤,提示用戶:從客戶端檢測(cè)到潛在風(fēng)險(xiǎn)的Request值。這種頁(yè)面是極為不友好的,同時(shí)也是我們作為開(kāi)發(fā)最不想見(jiàn)到的頁(yè)面,屏蔽這個(gè)錯(cuò)誤很簡(jiǎn)單,就是在響應(yīng)的頁(yè)面ActionResult上面加上[ValidateInput(false)]的特性,這樣當(dāng)用戶提交的時(shí)候,頁(yè)面將不會(huì)再次對(duì)輸入內(nèi)容做檢測(cè)。

如果容忍這樣的行為,將會(huì)對(duì)系統(tǒng)的安全性造成威脅,所以最好的解決方法就是講其中類(lèi)似 <>等進(jìn)行轉(zhuǎn)義。

下面我們就來(lái)利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過(guò)濾類(lèi):

using System.Web.Mvc;
using TinyFrame.Plugin.StrongTyped.Models;

namespace TinyFrame.Plugin.StrongTyped
{
  public class FilterCharsAttribute : ActionFilterAttribute
  {
    protected string parameterName = "t";
    protected TestModel model;
    
 public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
      base.OnActionExecuting(filterContext);
      
   //No Parameters, will return directly.
      if(!filterContext.ActionParameters.ContainsKey(parameterName))
        return;
      
   var t = filterContext.ActionParameters[parameterName] as TestModel;
      
   //No Entity data, will return directly
      if (t == null)
        return;
      
   //Replace chars that should be filtered
      if (!string.IsNullOrEmpty(t.TName))
        t.TName = t.TName.Replace("<", "&lt").Replace(">", "&gt");
      if (!string.IsNullOrEmpty(t.TSite))
        t.TSite = t.TSite.Replace("<", "&lt").Replace(">", "&gt");
    }
  }
}

第8行,代表我們的用戶輸入的實(shí)體類(lèi)參數(shù),具體的Controller代碼如下:

public ActionResult Index(TestModel t)
{
     ViewData["ConvertedModel"] = t;
     return View();
}

第11行,通過(guò)重載OnActionExecuting方法,我們可以定義自己的Filter。

第19行,將獲取的Input結(jié)果轉(zhuǎn)換成entity。

第27,29行,將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義。

這樣書(shū)寫(xiě)完畢之后,我們就打造了一個(gè)可以過(guò)濾掉關(guān)鍵字的Filter了。如果想要做的通用的話,需要對(duì)輸入的filterContext.ActionParameters進(jìn)行遍歷,并通過(guò)反射構(gòu)建實(shí)例,再通過(guò)反射字段值,實(shí)現(xiàn)通用的關(guān)鍵字過(guò)濾。這里我只提供思路,具體的做法就看自己了。

然后將這個(gè)方法加入到Controller中需要檢測(cè)的頁(yè)面的頭部,即可:

[ValidateInput(false)]
[FilterChars]
public ActionResult Index(TestModel t)
{
   ViewData["ConvertedModel"] = t;
   return View();
}

這樣,我們就完成了對(duì)輸入數(shù)據(jù)的過(guò)濾操作,下面看看結(jié)果吧:

我們可以清楚的看到,輸入結(jié)果,輸出后,一對(duì)尖角號(hào)被轉(zhuǎn)義了。

希望本文所述對(duì)大家asp.net程序設(shè)計(jì)有所幫助。

相關(guān)文章

最新評(píng)論