调查我使用ASP.NET MVC 2构建的系统的安全性让我发现了ASP.NET的请求验证功能 - 确实是一个非常简洁的功能。但显然我不只是想在用HTML输入数据时向用户展示黄屏死机,所以我想找到更好的解决方案。
我的想法是找到所有包含无效数据的字段,并在调用操作之前将它们添加到ModelStateDictionary,以便它们自动作为错误消息显示在UI中。谷歌搜索了一下后,似乎没有人实现这一点,在此之前我发现令人费解,因为它似乎很明显。这里有人有关于如何做到这一点的建议吗?我自己的想法是向控制器提供一个自定义ControllerActionInvoker,如here所述,以某种方式检查这个并修改ModelStateDictionary,但我仍然坚持如何做最后一点
仅仅捕获HttpRequestValidationException例外似乎不是一种有用的方法,因为它实际上并不包含我需要的所有信息。
我自己已经回答了这个问题,但我仍然非常有兴趣听到任何更优雅/更健壮的解决方案。
答案 0 :(得分:1)
看了一下MVC如何进行模型绑定我自己想出了一个解决方案。我使用覆盖Controller方法的自定义实现来扩展Execute类,如下所示:
public abstract class ExtendedController : Controller
{
protected override void Execute(RequestContext requestContext)
{
ActionInvoker = new ExtendedActionInvoker(ModelState);
ValidateRequest = false;
base.Execute(requestContext);
}
}
让我控制请求验证何时发生我已将以下内容添加到web.config:
<httpRuntime requestValidationMode="2.0"/>
操作的内容发生在ControllerActionInvoker类的自定义实现中:
public class ExtendedActionInvoker : ControllerActionInvoker
{
private ModelStateDictionary _modelState;
private const string _requestValidationErrorKey = "RequestValidationError";
public ExtendedActionInvoker(ModelStateDictionary modelState)
{
_modelState = modelState;
}
protected override ActionDescriptor FindAction(ControllerContext controllerContext, ControllerDescriptor controllerDescriptor, string actionName)
{
var action = base.FindAction(controllerContext, controllerDescriptor, actionName);
controllerContext.RequestContext.HttpContext.Request.ValidateInput();
return action;
}
protected override object GetParameterValue(ControllerContext controllerContext, ParameterDescriptor parameterDescriptor)
{
try
{
return base.GetParameterValue(controllerContext, parameterDescriptor);
}
catch (HttpRequestValidationException)
{
var fieldName = parameterDescriptor.ParameterName;
_modelState.AddModelError(fieldName, ModelRes.Shared.ValidationRequestErrorMessage);
_modelState.AddModelError(_requestValidationErrorKey, ModelRes.Shared.ValidationRequestErrorMessage);
var parameterType = parameterDescriptor.ParameterType;
if (parameterType.IsPrimitive || parameterType == typeof(string))
{
return GetValueFromInput(parameterDescriptor.ParameterName, parameterType, controllerContext);
}
var complexActionParameter = Activator.CreateInstance(parameterType);
foreach (PropertyDescriptor descriptor in TypeDescriptor.GetProperties(complexActionParameter))
{
object propertyValue = GetValueFromInput(descriptor.Name, descriptor.PropertyType, controllerContext);
if (propertyValue != null)
{
descriptor.SetValue(complexActionParameter, propertyValue);
}
}
return complexActionParameter;
}
}
private object GetValueFromInput(string parameterName, Type parameterType, ControllerContext controllerContext)
{
object propertyValue;
controllerContext.RouteData.Values.TryGetValue(parameterName, out propertyValue);
if (propertyValue == null)
{
propertyValue = controllerContext.HttpContext.Request.Params[parameterName];
}
if (propertyValue == null)
return null;
else
return TypeDescriptor.GetConverter(parameterType).ConvertFrom(propertyValue);
}
}
这样做是在找到操作后执行请求验证。如果请求无效,则不会立即导致错误,但是当调用GetParameterValue时,它将引发异常。为了避免这种情况,我重写了这个方法并将基本调用包装在try-catch中。如果捕获到异常,我基本上重新实现了模型绑定(我没有对此代码的质量作出任何承诺)并向ModelStateDictionary对象添加错误值。
作为奖励,因为我想为我的ajax方法返回标准格式的错误,我还添加了InvokeActionMethod的自定义实现。
protected override ActionResult InvokeActionMethod(ControllerContext controllerContext, ActionDescriptor actionDescriptor, IDictionary<string, object> parameters)
{
if (_modelState.ContainsKey(_requestValidationErrorKey))
{
var errorResult = new ErrorResult(_modelState[_requestValidationErrorKey].Errors[0].ErrorMessage, _modelState);
var type = controllerContext.Controller.GetType();
var methods = type.GetMethods(BindingFlags.Public | BindingFlags.Instance | BindingFlags.DeclaredOnly);
if (methods.Where(m => m.Name == actionDescriptor.ActionName).First().ReturnType == typeof(JsonResult))
return (controllerContext.Controller as ExtendedControllerBase).GetJson(errorResult);
}
return base.InvokeActionMethod(controllerContext, actionDescriptor, parameters);
}