2. 程式人生 > >MVC中利用ActionFilterAttribute過濾關鍵字

MVC中利用ActionFilterAttribute過濾關鍵字

阿新 發佈:2019-02-05

在開發過程中,有時候會對使用者輸入進行過濾,以便保證平臺的安全性。遮蔽的方法有很多種,但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實現。由於MVC天然支援AOP,所以我們這種過濾方式正好利用了MVC的這種特性。

下面請看步驟:

首先,當用戶輸入自己的名稱的時候,帶有類似<BR>的內容的時候,由於MVC預設是需要驗證內容的,所以,會丟擲一張黃頁錯誤,提示使用者:從客戶端檢測到潛在風險的Request值。這種頁面是極為不友好的,同時也是我們作為開發最不想見到的頁面,遮蔽這個錯誤很簡單,就是在響應的頁面ActionResult上面加上[ValidateInput(false)]的特性,這樣當用戶提交的時候,頁面將不會再次對輸入內容做檢測。

如果容忍這樣的行為,將會對系統的安全性造成威脅,所以最好的解決方法就是講其中類似 <>等進行轉義。

下面我們就來利用ActionFilterAttribute構造自己的轉義過濾類:

   1:  using System.Web.Mvc;
   2:  using TinyFrame.Plugin.StrongTyped.Models;
   3:   
   4:  namespace TinyFrame.Plugin.StrongTyped
   5:  {
   6:      public class FilterCharsAttribute : ActionFilterAttribute
   7:      {
   8:          protected string parameterName = "t";
   9:          protected TestModel model;
  10:   
  11:          public override void OnActionExecuting(ActionExecutingContext filterContext)
  12:          {
  13:              base.OnActionExecuting(filterContext);
  14:   
  15:  
 
            //No Parameters, will return directly.
  16:              if (!filterContext.ActionParameters.ContainsKey(parameterName))
  17:                  return;
  18:   
  19:              var t = filterContext.ActionParameters[parameterName] as TestModel;
  20:   
  21:              //No Entity data, will return directly
  22:              if (t == null)
  23:                  return;
  24:   
  25:              //Replace chars that should be filtered
  26:              if (!string.IsNullOrEmpty(t.TName))
  27:                  t.TName = t.TName.Replace("<", "&lt").Replace(">", "&gt");
  28:              if (!string.IsNullOrEmpty(t.TSite))
  29:                  t.TSite = t.TSite.Replace("<", "&lt").Replace(">", "&gt");
  30:          }
  31:      }
  32:  }

第8行,代表我們的使用者輸入的實體類引數,具體的Controller程式碼如下:

   1:    public ActionResult Index(TestModel t)
   2:          {
   3:              ViewData["ConvertedModel"] = t;
   4:              return View();
   5:          }

第11行,通過過載OnActionExecuting方法,我們可以定義自己的Filter。

第19行,將獲取的Input結果轉換成entity。

第27,29行,將潛在的危險字元進行轉義。

這樣書寫完畢之後,我們就打造了一個可以過濾掉關鍵字的Filter了。如果想要做的通用的話,需要對輸入的filterContext.ActionParameters進行遍歷,並通過反射構建例項,再通過反射欄位值,實現通用的關鍵字過濾。這裡我只提供思路,具體的做法就看自己了。

然後將這個方法加入到Controller中需要檢測的頁面的頭部,即可:

   1:  [ValidateInput(false)]
   2:  [FilterChars]
   3:  public ActionResult Index(TestModel t)
   4:  {
   5:       ViewData["ConvertedModel"] = t;
   6:       return View();
   7:  }

這樣,我們就完成了對輸入資料的過濾操作,下面看看結果吧:

QQ截圖20140422211039

我們可以清楚的看到,輸入結果,輸出後,一對尖角號被轉義了。

相關推薦

MVC利用ActionFilterAttribute過濾關鍵字

在開發過程中,有時候會對使用者輸入進行過濾,以便保證平臺的安全性。遮蔽的方法有很多種,但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實現。由於MVC天然支援AOP,所以我們這種過濾方式正好利用了MVC的這種特性。 下面請看步驟: 首先,當用戶輸入自己的名稱的時候,帶有

在ASP.NET MVC利用Aspose.cells 將查詢出的數據導出為excel,並在瀏覽器下載。

width tdi 新增 column 需求 options 解決 印象 ats 正題前的嘮叨 本人是才出來工作不久的小白菜一顆,技術很一般,總是會有遇到一些很簡單的問題卻不知道怎麽做,這些問題可能是之前解決過的。發現這個問題,想著提升一下自己的技術水平,將一些學的新的‘好

MVC構建Linq條件、排序、Selector字段過濾

ssi mvc bsp 分別是 fun clas div lin con 代碼: System.Linq.Expressions.Expression<Func<Domain.S_ROLE, bool>> expressWhere1 = (c =&

mvc的action驗證登錄(ActionFilterAttribute

conf nat 執行 () ont class use 繼承 action 方法一 : 1.創建一個全局action過濾器 (在appstart 的filterconfig中註冊 filters.Add(new LoginAttribute());)

C#關鍵字partial在asp.net mvc的應用

一、概念 一個產品級別的類很容易達到成百上千行程式碼。一個類定義在一個*.CS檔案中,這就將導致程式碼檔案非常長。在建立類時,大多數程式碼在確立之後基本上就不再改變了。例如:欄位資料、屬性和建構函式在生產過程中很少變動,而方法卻需要經常改變。這時,你可以將一個類分佈到多個C

MVCActionFilterAttribute用法並實現統一授權

http://blog.sina.com.cn/s/blog_78106bb10102v9b5.html MVC中ActionFilterAttribute經常用來處理許可權或者統一操作時的問題。 先寫一個簡單的例子,如下: 比如現在有一個使用者管理中心,而這個使用

tf.get_variable變數的重複利用,reuse關鍵字

reuse為True的時候表示用tf.get_variable 得到的變數可以在別的地方重複使用 例如: import tensorflow as tf; import numpy as np; import matplotlib.pyplot as plt;

mysql利用函式與過程過濾html標籤

如果要過濾html標籤多半同學都使用php的函數了,但是大家不知道是可以直接在mysql中進行去除htm標籤吧,下面一起來看看吧。 mysql本身沒有去除html程式碼的內建函式,但是在一些情況下,不得不在資料庫層次提取一些去除了html程式碼的純文字。 經過谷歌後,找

java利用正則,過濾網頁標籤.......

在開發中有時候會遇到在一大串字串中替換或者去除某個特定的字串,一下例子是過濾html頁面字串的例項,說明正則在其中的作用: package com.project.admin.common.util; import java.util.ArrayList; import

Java利用final關鍵字inline編譯優化真的有效嗎?

(inkfish原創,轉載請註明出處:http://blog.csdn.net/inkfish/)   為尋求java程式碼的效能優化,從網上搜到利用final關鍵字進行編譯時inline優化的方法,但是真的有效嗎?實際測試中發現未必,甚至效能影響巨大,最終放棄了使用fina

在pythonl利用xlrd/xlwt對excel進行關鍵字查找並生成新表

關鍵字 font 返回 python 保存 odi .sh spa 行數 xlrd對exce進行讀操作,xlwt對exce進行寫操作。實現把excel中某些單元格的部分字符作為關鍵字,進行查找。話不多說直接上代碼。 # -*- coding: utf-8 -*- i

在ASP.NET Core MVC構建簡單 Web Api

程序 Getting Started在 ASP.NET Core MVC 框架中,ASP.NET 團隊為我們提供了一整套的用於構建一個 Web 中的各種部分所需的套件,那麽有些時候我們只需要做一個簡單的 Web Api 程序怎麽辦呢?在 GitHub 中的 ASP.NET Core MVC 源碼裏面,我

js 利用url傳遞參數的編碼問題

else col oca indexof uri click spl return ice 今天犯二了,解析url傳遞的參數怎麽都不對,將結果log出來,發現是編碼的問題,然而,我居然忘了給怎麽編碼解碼、、、、所以,有必要記一下,下次犯二就不用去翻別人寫的了 傳遞url時,

MVC根據後臺絕對路徑讀取圖片並顯示在IMG

copy ret execute ble 操作文件 初學者 實體類 cin jpeg 數據庫存取圖片並在MVC3中顯示在View中 根據路徑讀取圖片: 1 byte[] img = System.IO.File.ReadAllBytes(@"d:\x

Asp.net MVC如何獲取控制器的名稱

tex 如何 route 控制 this .get data control str 如果在代碼中 當前controller、action的獲取RouteData.Route.GetRouteData(this.HttpContext).Values["controlle

asp.net mvchtml helper的一大優勢

ont size color 優勢 其中 系統 per .net strong 剛上手這個框架,發現其中的html helper用起來很方便,讓我們這些從web form 過渡來的coder有一種使用控件的快感,嘻嘻! 言歸正傳,我要說的是在使用它時,系統會自動執行表單的現

淺析Asp.net MVC Ajax的使用

x11 生成 table ex18 review arp javascrip tle func 在ASP.NET MVC beta中我們可以使用Ajax.BeginForm, Ajax.ActionLink來進行Ajax調用,同樣我們也可以使用一些支持Ajax 框架如jQ

C++利用鏈表實現一個棧

pop sin 返回 void tac () node bool typedef 在實現棧之前應該思考棧的一些用法: push pop top isempty 想清楚棧頂的組成; 下面是實現代碼: 1 #include<iostream> 2 3 us

ASP.NET MVC 路徑的解惑

src javascrip pan 開頭 失效 如果 語言 baidu rip 很多人在寫代碼的時候關於路徑這個問題很頭疼,其實路徑是很簡單的,只是沒人幫我們點投!初次學習程序的人,我相信肯定會遇到和我一樣的問題,比如說,“/”和“~”引用路勁的區別,接下來看吧,這篇文章肯

MVC的分部視圖

ext copy data 語法 world! fonts replace art 區別 背景: 項目的工期馬上就要到了,由於後臺封裝的很好,我們只需要用心熟悉框架,接下來後臺的工作就是簡單的代碼工作了。原本以為最困難的時期已經過去,可沒想到前臺才是最困難的。