Czy można usunąć niektóre dane postu za pomocą modułu HttpModule?

Question

Konwertuję starą klasyczną stronę asp na asp.net.

Aplikacja jest w zasadzie rozszerzeniem zestawu narzędzi dla danego zestawu użytkowników, ale jest hostowana u zewnętrznego dostawcy.

Aby wykonać płynne przeniesienie do tej aplikacji, POSTS trochę danych XML, które uruchamia "potencjalnie niebezpieczną wartość Request.Form". Wiem, że mógłbym wyłączyć flagę validateRequest, ale wolałbym tego nie robić.

Napisałem httpmodule, który pobiera te dane i używa ich do uwierzytelnienia użytkownika, czy możliwe jest użycie tego samego modułu lub innego modułu do usunięcia tych "złych" wartości w danych dane są "zatwierdzane"?

W przeciwnym razie, jeśli żaden z tych pomysłów nie działa, jestem otwarty na inne sugestie.

Answer 1

Tak. Poniższa klasa implementuje interfejs IHttpModule oraz rejestry i zdarzenia, które zostaną uruchomione przed sprawdzeniem wyjątku HttpRequestValidationException. Sprawdza, czy żądanie to POST i że "testinput" nie ma wartości null, a następnie HTML koduje. Klasa musi być zarejestrowana w pliku Web.config jako httpModule.

klasa ...

using System; 
using System.Collections.Specialized; 
using System.Reflection; 
using System.Web; 

public class PrevalidationSanitizer : System.Web.IHttpModule 
{ 
    private HttpApplication httpApp; 

    public void Init(HttpApplication httpApp) 
    { 
     this.httpApp = httpApp; 
     httpApp.PreRequestHandlerExecute += new System.EventHandler(PreRequestHandlerExecute_Event); 
    } 

    public void Dispose() { } 

    public void PreRequestHandlerExecute_Event(object sender, System.EventArgs args) 
    { 
     NameValueCollection form = httpApp.Request.Form; 

     Type type = form.GetType(); 

     PropertyInfo prop = type.GetProperty("IsReadOnly", BindingFlags.Instance 
      | BindingFlags.IgnoreCase | BindingFlags.NonPublic | BindingFlags.FlattenHierarchy); 

     prop.SetValue(form, false, null); 

     if (httpApp.Request.RequestType == "POST" != null 
      && httpApp.Request.Form["testinput"]) 
       httpApp.Request.Form.Set("testinput" 
        , httpApp.Server.HtmlEncode(httpApp.Request.Form["testinput"])); 
    } 
} 

wpis web.config ...

<system.web> 
    <httpModules> 
    <add type="PrevalidationSanitizer" name="PrevalidationSanitizer" /> 
... 

Answer 2

Chciałbym pokusić się o zignorowanie złego wzorca umieszczania danych XML w wiadomościach terenowych za pośrednictwem formularza HTML. Rozumiem, że chcesz, aby port "płynnie", który biorę, oznacza, że ​​chcesz mieć możliwość utrzymywania stron ASP i ASPX przez pewien czas. Jednak w takim przypadku należy rozważyć zmianę zarówno formularza, jak i celu działania formularza w tym samym czasie.

Podejrzewam, że jest to podobne do porady, którą podałem here. Tylko w tym przypadku sytuacja jest gorsza pod tym względem, że wzór kodu w oryginalnej ASP nie jest pożądany, nawet w ramach ograniczeń klasycznej ASP.

Jeśli nie chcesz całkowicie portować formularza ASP i jego strony akcji w tym samym czasie, rozważ zmodyfikowanie strony ASP, aby użyć XHR, aby opublikować kod XML w ashx, który umieszcza kod XML w bezpiecznym miejscu i zwraca identyfikator GUID . Umieść zwrócony identyfikator GUID w ukrytym polu zamiast na polu, które pierwotnie zawierało plik XML. Na odbierającej stronie ASPX użyj identyfikatora GUID, aby pobrać wcześniej opublikowany kod XML.

Answer 3

Brzmi jak wiele kłopotów. Co jest złego w tym, że używanie flagi validateRequest oznacza poziom strony?

Po prostu upewnij się, że poprawnie odfiltrowujesz dane wejściowe i koduje je, jeśli chcesz je przechowywać w dowolnym miejscu i/lub upewnij się, że nie splunął z powrotem pola do przeglądarki bez kodowania go.