15
有沒有什麼辦法可以集中執行每個操作方法都必須具有「ValidateAntiForgeryToken」屬性?我認爲這必須通過擴展一個「路由」類來完成。確保每個控制器方法都具有ValidateAntiForgeryToken屬性?
編輯:或者也許在應用程序啓動時做一些反思?
A
回答
22
是的。你可以通過創建你自己的BaseController來繼承Mvc控制器,並重載OnAuthorization()。你要強制執行之前,以確保它是一個POST事件:
public abstract class MyBaseController : Controller
{
protected override void OnAuthorization(AuthorizationContext filterContext)
{
//enforce anti-forgery stuff for HttpVerbs.Post
if (String.Compare(filterContext.HttpContext.Request.HttpMethod,
System.Net.WebRequestMethods.Http.Post, true) == 0)
{
var forgery = new ValidateAntiForgeryTokenAttribute();
forgery.OnAuthorization(filterContext);
}
base.OnAuthorization(filterContext);
}
}
一旦你的,確保所有控制器,從這個MyBaseController(或者無論你怎麼稱呼它)繼承。或者,如果您喜歡使用相同的代碼,則可以在每個控制器上執行此操作。
8
聽起來像你試圖阻止「哎呀我忘了設置」的錯誤。如果是這樣,我認爲最好的地方是使用自定義的ControllerActionInvoker。
基本上你想要做的是,即使找到一個動作沒有防僞標記停止MVC:
public class MustHaveAntiForgeryActionInvoker : ControllerActionInvoker
{
protected override ActionDescriptor FindAction(ControllerContext controllerContext, ControllerDescriptor controllerDescriptor, string actionName)
{
var foundAction = base.FindAction(controllerContext, controllerDescriptor, actionName);
if(foundAction.GetCustomAttributes(typeof(ValidateAntiForgeryTokenAttribute), true).Length == 0)
throw new InvalidOperationException("Can't find a secure action method to execute");
return foundAction;
}
}
然後在你的控制器,最好是你的基本控制器:
ActionInvoker = new MustHaveAntiForgeryActionInvoker();
只是想添加自定義控制器基類往往會變得「厚」,而且它始終是最好的實踐,以便使用MVC的卓越可擴展性來抓住它們所屬的特性。
這裏是大多數的MVC的擴展點有很好的指導: http://codeclimber.net.nz/archive/2009/04/08/13-asp.net-mvc-extensibility-points-you-have-to-know.aspx
7
好吧,我剛剛升級了一個項目,MVC V2.0這裏,和eduncan911的解決方案不工作了,如果你使用的AuthorizeAttribute你的控制器動作。找出原因有點難。
因此,故事中的罪魁禍首是MVC團隊在RequestVerificationToken的值中添加了使用ViewContext.HttpContext.User.Identity.Name屬性。
在基本控制器中重寫的OnAuthorization在控制器動作的任何過濾器之前執行。所以,問題在於Authorize屬性尚未被調用,因此未設置ViewContext.HttpContext.User。所以UserName是String.Empty,而用於驗證的AntiForgeryToken包含真正的用戶名= fail。
我們使用此代碼現在解決了這個問題:
public abstract class MyBaseController : Controller
{
protected override void OnAuthorization(AuthorizationContext filterContext)
{
//enforce anti-forgery stuff for HttpVerbs.Post
if (String.Compare(filterContext.HttpContext.Request.HttpMethod, "post", true) == 0)
{
var authorize = new AuthorizeAttribute();
authorize.OnAuthorization(filterContext);
if (filterContext.Result != null) // Short circuit validation
return;
var forgery = new ValidateAntiForgeryTokenAttribute();
forgery.OnAuthorization(filterContext);
}
base.OnAuthorization(filterContext);
}
}
到MVC代碼庫的一些參考文獻:
ControllerActionInvoker#InvokeAuthorizationFilters()線283相同短路。 AntiForgeryData#GetUsername()第98行。新功能。
+0
我繼續前進,並給雅上升(+3,哇!)。但是,我在3.5框架中使用了VS2010 RTM的MVC 2.0 RTM(這是一個Azure項目,所以我現在必須保持3.5)。我發佈的防僞解決方案仍然有效。我想知道這個問題是你使用MVC 2.0 RC2還是一樣? – eduncan911 2010-04-26 01:08:22
0
這個怎麼樣?
[ValidateAntiForgeryToken]
public class MyBaseController : Controller
{
}
相關問題
- 1. ValidateAntiForgeryToken屬性
- 2. 確保控制器具有使用Ninject
- 3. 使用控制器的屬性/方法
- 4. 如何確保所有屬性都已加載Silverlight ViewModel模式(併發控制?)
- 5. 確保src屬性具有http:
- 6. Spring 3屬性文件每控制器
- 7. 在控制器的LINQ查詢與具有一個DateTime屬性
- 8. 應用程序控制器有哪些屬性和方法?
- 9. 手把#每個屬性都有其他屬性
- 10. 具有多個內容屬性的工具提示控制
- 11. 每個控制器使用MVC屬性路由的多個RoutePrefix?
- 12. 有沒有在maven中確保設置屬性的方法
- 13. Spring安全性 - 基於屬性訪問控制器方法
- 14. 確保兩個Python類具有相同名稱的屬性
- 15. Typescript:確保通用類型具有某個屬性
- 16. 參考控制器屬性與控制器作爲語法
- 17. 在ASP.NET中具有不同屬性的部分控制器MVC
- 18. 防僞關鍵是現在需要的是沒有屬性方法ValidateAntiForgeryToken
- 19. Angular.js控制器無法設置屬性
- 20. 運行控制器方法每5秒
- 21. 設置模型屬性爲每個控制器
- 22. spring:在每個控制器模型中添加會話屬性
- 23. Ember:從每個幫手中訪問控制器屬性
- 24. 插入具有唯一屬性的記錄的正確方法
- 25. 使用具有屬性方法的__del__
- 26. C# - 具有通用屬性的方法
- 27. 對每個屬性更改都無效()自定義控件?
- 28. XML Schema - 我需要確保我有一個元素的兩個實例,每個元素具有一個屬性
- 29. 我的控制器方法release_reservation未使用新值保存屬性
- 30. codeigniter:控制器中的私有屬性
此解決方案接縫不適用於MVC2。它對MVC1來說工作得很好,但是一旦我們升級到v2,它就停止工作。試圖找到一個解決方案。 – 2010-03-29 12:14:03
感謝您將此引入我的注意。我也會考慮一下。 – eduncan911 2010-03-29 14:00:37
我至少發現_a_解決方案,而不是最好的解決方案。請參閱下面的答案。評論框不是很好,代碼格式=) – 2010-03-29 14:55:15