个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我构建了一个基于 AntiXSS 的 HTML 清理程序,通过覆盖默认模型绑定(bind)器来自动清理用户输入字符串,该模型在标准发布请求上运行良好。然而,当使用新的 ApiController 时,默认模型绑定(bind)器永远不会被调用,我认为这是因为这个新的 MVC Controller 使用 JSON 格式化程序来绑定(bind)请求正文中的输入数据。
那么如何扩展格式化程序,以便我可以在字符串属性被 JSON 绑定(bind)后修改它们呢?我宁愿不必在 Controller 级别实现这一点,并且应该有一种方法可以在它到达 Controller 之前完成它。
最佳答案
我通过创建修改后的 Json 格式化程序解决了我的问题,但是大多数有关如何执行此操作的文档都是基于 .Net 4.0 的预发布代码。
using System;
using System.Collections.Concurrent;
using System.Collections.Generic;
using System.Diagnostics.Contracts;
using System.Linq;
using System.IO;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Net.Http.Formatting;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Json;
using System.Text;
using System.Reflection;
using System.Threading.Tasks;
using System.Web;
using System.Web.Script.Serialization;
using Newtonsoft.Json;
using Newtonsoft.Json.Serialization;
public class JsonNetFormatterAntiXss : JsonMediaTypeFormatter
{
public override bool CanReadType(Type type)
{
return base.CanReadType(type);
}
public override bool CanWriteType(Type type)
{
return base.CanWriteType(type);
}
public override Task<object> ReadFromStreamAsync(Type type, Stream readStream, HttpContent content, IFormatterLogger formatterLogger)
{
HttpContentHeaders contentHeaders = content == null ? null : content.Headers;
// If content length is 0 then return default value for this type
if (contentHeaders != null && contentHeaders.ContentLength == 0)
{
return Task.FromResult(MediaTypeFormatter.GetDefaultValueForType(type));
}
// Get the character encoding for the content
Encoding effectiveEncoding = SelectCharacterEncoding(contentHeaders);
try
{
using (JsonTextReader jsonTextReader = new JsonTextReader(new StreamReader(readStream, effectiveEncoding)) { CloseInput = false, MaxDepth = _maxDepth })
{
JsonSerializer jsonSerializer = JsonSerializer.Create(_jsonSerializerSettings);
if (formatterLogger != null)
{
// Error must always be marked as handled
// Failure to do so can cause the exception to be rethrown at every recursive level and overflow the stack for x64 CLR processes
jsonSerializer.Error += (sender, e) =>
{
Exception exception = e.ErrorContext.Error;
formatterLogger.LogError(e.ErrorContext.Path, exception);
e.ErrorContext.Handled = true;
};
}
return Task.FromResult(DeserializeJsonString(jsonTextReader, jsonSerializer, type));
}
}
catch (Exception e)
{
if (formatterLogger == null)
{
throw;
}
formatterLogger.LogError(String.Empty, e);
return Task.FromResult(MediaTypeFormatter.GetDefaultValueForType(type));
}
}
private object DeserializeJsonString(JsonTextReader jsonTextReader, JsonSerializer jsonSerializer, Type type)
{
object data = jsonSerializer.Deserialize(jsonTextReader, type);
// sanitize strings if we are told to do so
if(_antiXssOptions != AntiXssOption.None)
data = CleanAntiXssStrings(data); // call your custom XSS cleaner
return data;
}
/// <summary>
/// Clean all strings using internal AntiXss sanitize operation
/// </summary>
/// <param name="data"></param>
/// <returns></returns>
private object CleanAntiXssStrings(object data)
{
PropertyInfo[] properties = data.GetType().GetProperties();
foreach (PropertyInfo property in properties)
{
Type ptype = property.PropertyType;
if (ptype == typeof(string) && ptype != null)
{
// sanitize the value using the preferences set
property.SetValue(data, DO_MY_SANITIZE(property.GetValue(data).ToString()));
}
}
return data;
}
public override Task WriteToStreamAsync(Type type, object value, Stream writeStream, HttpContent content, System.Net.TransportContext transportContext)
{
return base.WriteToStreamAsync(type, value, writeStream, content, transportContext);
}
private DataContractJsonSerializer GetDataContractSerializer(Type type)
{
Contract.Assert(type != null, "Type cannot be null");
DataContractJsonSerializer serializer = _dataContractSerializerCache.GetOrAdd(type, (t) => CreateDataContractSerializer(type, throwOnError: true));
if (serializer == null)
{
// A null serializer means the type cannot be serialized
throw new InvalidOperationException(String.Format("Cannot serialize '{0}'", type.Name));
}
return serializer;
}
private static DataContractJsonSerializer CreateDataContractSerializer(Type type, bool throwOnError)
{
if (type == null)
{
throw new ArgumentNullException("type");
}
DataContractJsonSerializer serializer = null;
Exception exception = null;
try
{
// Verify that type is a valid data contract by forcing the serializer to try to create a data contract
XsdDataContractExporter xsdDataContractExporter = new XsdDataContractExporter();
xsdDataContractExporter.GetRootElementName(type);
serializer = new DataContractJsonSerializer(type);
}
catch (InvalidDataContractException invalidDataContractException)
{
exception = invalidDataContractException;
}
if (exception != null)
{
if (throwOnError)
{
throw new InvalidOperationException(String.Format("Can not serialize type '{0}'.", type.Name), exception);
}
}
return serializer;
}
}
我将此代码基于 Json.NET implementation JsonMediaTypeFormatter 以及这个 article 。至于我的 AntiXSS 实现,我没有费心发布它,它结合使用了 AntiXSS 4.2.1 和自定义解析,因为该库的保护过度了。
关于asp.net-mvc-4 - 使用 MVC4 ApiController 时如何清理 JSON 输入参数?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19017867/
24
4
0
in jsf 中未填充值
我需要为元素属性动态构建 XPath 查询,其中属性值由用户提供。我不确定如何清理或清理此值以防止 XPath 等同于 SQL 注入(inject)攻击。例如(在 PHP 中): xpath("//m
问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗? 我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(
你可以在python中创建一个在for循环退出时运行清理代码的迭代吗?就像是: from random import randint class Iterable: def __iter__(
假设我定期将数据插入 SQLite 数据库,然后清除前 50% 的数据,但我不清理。 我现在是否有类似文件前 50% 的清零页面之类的东西?如果我添加另一批数据,我是否正在填写那些清零的页面? 手册中
我有一堆 HTML 代码,我想在其中删除所有 HTML 标记。 我认为 Regex(正则表达式)可以做到这一点。通过搜索和替换,我将如何执行此操作? 我尝试了 ,我认为 * 是通配符,但显然不是。
我仍在学习 Haskell,我想知道是否有一种不太冗长的方法来使用 1 行代码来表达以下语句: map (\x -> (x, (if mod x 3 == 0 then "fizz" else "")
我需要怎么做才能正确清理/转义程序化SSH命令中输入的参数? 例如,路径参数- public boolean exists(String path) { try { Chann
这个问题已经有答案了: How to clear the canvas for redrawing (25 个回答) 已关闭10 个月前。 我目前正在尝试创建一个带有雨滴落下的 Canvas ,我唯一
我目前正在使用此过程来清理/过滤用户输入的评论 -> 这个是用来去掉斜线的……和 if (get_magic_quotes_gpc()) { function stripslashe
是否可以在 portal_setup 中删除旧的导入配置文件。 目前,我的网站上有许多可追溯到 2009 年的条目:: import-all-profile-Products.Archetypes_
假设我有多个指令,包括以下内容: ...template content... ...template content... 你如何销毁指令?通常我会在 jquery 中做一些我 $('#2').re
我正在开发一个可移植java应用程序,它可以在用户的PC(Windows XP)上动态生成一些文件。现在,我想要的是在java程序退出后删除这些临时文件。显然,java的文件删除机制是不可信的。即
我有一个 argv c 程序,它反转单词,并查看它是否是回文。我只是想清理输出并让它打印原始输入而不是相反的输入,但由于它是 argv,我似乎不知道该怎么做。 int main(int argc, c
我的网页上有一篇用 markdown 写的文章,我想在索引页上显示一份简短的简历。 问题是正文有markdown,我想在简历上显示纯文本。 例如: Article text: Hello people
在下面的代码片段中,可以做些什么来a)让编译器安静,b)清理交叉的指针困惑? extern struct tree *sintablein[sintablesize]; struct tree *(*
我试图弄清楚 WeakHashMap 在垃圾收集后如何清理。正如你们中许多人可能知道的那样,当 WeakHashMap 条目的键被垃圾回收时,它会自动删除。但是,例如,如果我做这样的事情: List>
我对构建的理解是,它只编译上次构建中编辑过的Java文件,而干净构建将删除所有类文件并重新编译所有文件。那么,当单独构建就足以满足我提供最新版本的类文件的需要时,干净构建的效用是什么? 最佳答案 有时
是否有任何简单的(内置的、附加的、开源的或商业的)在 Postgresql(主从)上进行复制,以便在复制时清理从属内部的数据以符合 PCI 合规性? ETL工具怎么样?它不一定是瞬时的……最多一个小时
我有一个将数据保存到 MySQL 数据库的网站 在将 HTML 插入 MySQL 或在我的网站上显示它时,我应该转义 HTML 吗? 理想情况下,我想将原始 HTML 输入到我的数据库中,并在每次从中
我知道我已经asked一个关于 sanitizer 和转义的问题,但我有一个问题没有得到回答。 好了,到此为止。如果我有一个 PHP 脚本并且我 GET用户输入和SELECT它来自 mySQL 数据库
我是一名优秀的程序员,十分优秀!