asp.net MVC利用ActionFilterAttribute过滤关键字与安全防护

"本篇文章主要介绍了如何在ASP.NET MVC中利用ActionFilterAttribute（动作过滤器特性）来过滤关键字，确保平台的安全性。在开发过程中，开发者可能遇到用户输入包含特殊字符如<>时，MVC默认的输入验证机制会引发安全警告。为避免这种不友好的黄页错误并增强系统安全性，文章提供了以下步骤： 1. 首先，通过在ActionResult上添加[ValidateInput(false)]属性，关闭对用户输入的默认验证，阻止页面对提交的内容进行二次检查。这虽然可以暂时解决问题，但并非长久之计，因为这样做会降低系统安全性。 2. 为了从根本上解决这个问题，作者建议构造一个自定义的ActionFilterAttribute——FilterCharsAttribute。这个类继承自ActionFilterAttribute，并在OnActionExecuting方法中进行操作。在这个方法中，定义了一个名为`parameterName`的参数，用于指定要检查的参数名，以及一个`model`变量用于存储Action参数。 3. 在OnActionExecuting方法中，首先调用基类的OnActionExecuting方法，然后检查Action参数是否存在指定的`parameterName`。如果不存在，直接返回。如果存在，就获取该参数的值，并对其进行转义处理。这通常通过内置的或自定义的字符串转义函数来实现，以确保特殊字符被安全地转换为HTML实体或者替换为安全的字符序列。 4. 这个自定义过滤器可以在控制器的Action方法前标记，例如 `[FilterChars("t")]`，来指定需要过滤的参数名为`t`。这样，每次执行Action方法时，都会自动进行转义处理，防止恶意输入导致的安全漏洞。 总结来说，这篇文章教会了开发者如何利用ASP.NET MVC的ActionFilterAttribute来增强用户输入验证，特别是针对特殊字符的过滤，从而提升应用的安全性和用户体验。同时，通过创建自定义过滤器，开发者可以灵活定制自己的过滤逻辑，更好地满足项目需求。"