本文實(shí)例講述了asp.net MVC利用ActionFilterAttribute過濾關(guān)鍵字的方法。分享給大家供大家參考，具體如下：

在開發(fā)過程中，有時(shí)候會(huì)對(duì)用戶輸入進(jìn)行過濾，以便保證平臺(tái)的安全性。屏蔽的方法有很多種，但是今天我說的這種主要是利用MVC中的ActionFilterAttribute屬性來實(shí)現(xiàn)。由于MVC天然支持AOP，所以我們這種過濾方式正好利用了MVC的這種特性。

下面請(qǐng)看步驟：

首先，當(dāng)用戶輸入自己的名稱的時(shí)候，帶有類似<BR>的內(nèi)容的時(shí)候，由于MVC默認(rèn)是需要驗(yàn)證內(nèi)容的，所以，會(huì)拋出一張黃頁(yè)錯(cuò)誤，提示用戶：從客戶端檢測(cè)到潛在風(fēng)險(xiǎn)的Request值。這種頁(yè)面是極為不友好的，同時(shí)也是我們作為開發(fā)最不想見到的頁(yè)面，屏蔽這個(gè)錯(cuò)誤很簡(jiǎn)單，就是在響應(yīng)的頁(yè)面ActionResult上面加上[ValidateInput(false)]的特性，這樣當(dāng)用戶提交的時(shí)候，頁(yè)面將不會(huì)再次對(duì)輸入內(nèi)容做檢測(cè)。

如果容忍這樣的行為，將會(huì)對(duì)系統(tǒng)的安全性造成威脅，所以最好的解決方法就是講其中類似 <>等進(jìn)行轉(zhuǎn)義。

下面我們就來利用ActionFilterAttribute構(gòu)造自己的轉(zhuǎn)義過濾類：

using System.Web.Mvc;

using TinyFrame.Plugin.StrongTyped.Models;

namespace TinyFrame.Plugin.StrongTyped

{

  public class FilterCharsAttribute : ActionFilterAttribute

  {

    protected string parameterName = "t";

    protected TestModel model;

 public override void OnActionExecuting(ActionExecutingContext filterContext)

    {

      base.OnActionExecuting(filterContext);

   //No Parameters, will return directly.

      if(!filterContext.ActionParameters.ContainsKey(parameterName))

        return;

   var t = filterContext.ActionParameters[parameterName] as TestModel;

   //No Entity data, will return directly

      if (t == null)

        return;

   //Replace chars that should be filtered

      if (!string.IsNullOrEmpty(t.TName))

        t.TName = t.TName.Replace("<", "<").Replace(">", ">");

      if (!string.IsNullOrEmpty(t.TSite))

        t.TSite = t.TSite.Replace("<", "<").Replace(">", ">");

    }

  }

}

第8行，代表我們的用戶輸入的實(shí)體類參數(shù)，具體的Controller代碼如下：

public ActionResult Index(TestModel t)

{

     ViewData["ConvertedModel"] = t;

     return View();

}

第11行，通過重載OnActionExecuting方法，我們可以定義自己的Filter。

第19行，將獲取的Input結(jié)果轉(zhuǎn)換成entity。

第27,29行，將潛在的危險(xiǎn)字符進(jìn)行轉(zhuǎn)義。

這樣書寫完畢之后，我們就打造了一個(gè)可以過濾掉關(guān)鍵字的Filter了。如果想要做的通用的話，需要對(duì)輸入的filterContext.ActionParameters進(jìn)行遍歷，并通過反射構(gòu)建實(shí)例，再通過反射字段值，實(shí)現(xiàn)通用的關(guān)鍵字過濾。這里我只提供思路，具體的做法就看自己了。

然后將這個(gè)方法加入到Controller中需要檢測(cè)的頁(yè)面的頭部，即可：

[ValidateInput(false)]

[FilterChars]

public ActionResult Index(TestModel t)

{

   ViewData["ConvertedModel"] = t;

   return View();

}

這樣，我們就完成了對(duì)輸入數(shù)據(jù)的過濾操作，下面看看結(jié)果吧：

我們可以清楚的看到，輸入結(jié)果，輸出后，一對(duì)尖角號(hào)被轉(zhuǎn)義了。

希望本文所述對(duì)大家asp.net程序設(shè)計(jì)有所幫助。