當(dāng)前位置：首頁 > 编程语言 > c/c++ >内容正文

c/c++

MVC中利用ActionFilterAttribute过滤关键字

發(fā)布時(shí)間：2025/3/15 c/c++ 20 豆豆

生活随笔收集整理的這篇文章主要介紹了 MVC中利用ActionFilterAttribute过滤关键字小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

在開發(fā)過程中，有時(shí)候會(huì)對(duì)用戶輸入進(jìn)行過濾，以便保證平臺(tái)的安全性。屏蔽的方法有很多種，但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實(shí)現(xiàn)。由于MVC天然支持AOP，所以我們這種過濾方式正好利用了MVC的這種特性。

下面請(qǐng)看步驟：

首先，當(dāng)用戶輸入自己的名稱的時(shí)候，帶有類似<BR>的內(nèi)容的時(shí)候，由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的，所以，會(huì)拋出一張黃頁錯(cuò)誤，提示用戶：從客戶端檢測(cè)到潛在風(fēng)險(xiǎn)的Request值。這種頁面是極為不友好的，同時(shí)也是我們作為開發(fā)最不想見到的頁面，屏蔽這個(gè)錯(cuò)誤很簡(jiǎn)單，就是在響應(yīng)的頁面ActionResult上面加上[ValidateInput(false)]的特性，這樣當(dāng)用戶提交的時(shí)候，頁面將不會(huì)再次對(duì)輸入內(nèi)容做檢測(cè)。

如果容忍這樣的行為，將會(huì)對(duì)系統(tǒng)的安全性造成威脅，所以最好的解決方法就是講其中類似 <>等進(jìn)行轉(zhuǎn)義。

下面我們就來利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過濾類：

1: using System.Web.Mvc; 2: using TinyFrame.Plugin.StrongTyped.Models; 3: ? 4: namespace TinyFrame.Plugin.StrongTyped 5: { 6: public class FilterCharsAttribute : ActionFilterAttribute 7: { 8: protected string parameterName = "t"; 9: protected TestModel model; 10: ? 11: public override void OnActionExecuting(ActionExecutingContext filterContext) 12: { 13: base.OnActionExecuting(filterContext); 14: ? 15: //No Parameters, will return directly. 16: if (!filterContext.ActionParameters.ContainsKey(parameterName)) 17: return; 18: ? 19: var t = filterContext.ActionParameters[parameterName] as TestModel; 20: ? 21: //No Entity data, will return directly 22: if (t == null) 23: return; 24: ? 25: //Replace chars that should be filtered 26: if (!string.IsNullOrEmpty(t.TName)) 27: t.TName = t.TName.Replace("<", "&lt").Replace(">", "&gt"); 28: if (!string.IsNullOrEmpty(t.TSite)) 29: t.TSite = t.TSite.Replace("<", "&lt").Replace(">", "&gt"); 30: } 31: } 32: }

第8行，代表我們的用戶輸入的實(shí)體類參數(shù)，具體的Controller代碼如下：

1: public ActionResult Index(TestModel t) 2: { 3: ViewData["ConvertedModel"] = t; 4: return View(); 5: }

第11行，通過重載OnActionExecuting方法，我們可以定義自己的Filter。

第19行，將獲取的Input結(jié)果轉(zhuǎn)換成entity。

第27,29行，將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義。

這樣書寫完畢之后，我們就打造了一個(gè)可以過濾掉關(guān)鍵字的Filter了。如果想要做的通用的話，需要對(duì)輸入的filterContext.ActionParameters進(jìn)行遍歷，并通過反射構(gòu)建實(shí)例，再通過反射字段值，實(shí)現(xiàn)通用的關(guān)鍵字過濾。這里我只提供思路，具體的做法就看自己了。

然后將這個(gè)方法加入到Controller中需要檢測(cè)的頁面的頭部，即可：

1: [ValidateInput(false)] 2: [FilterChars] 3: public ActionResult Index(TestModel t) 4: { 5: ViewData["ConvertedModel"] = t; 6: return View(); 7: }

這樣，我們就完成了對(duì)輸入數(shù)據(jù)的過濾操作，下面看看結(jié)果吧：

我們可以清楚的看到，輸入結(jié)果，輸出后，一對(duì)尖角號(hào)被轉(zhuǎn)義了。

總結(jié)

以上是生活随笔為你收集整理的MVC中利用ActionFilterAttribute过滤关键字的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。