背景:
我正在尝试解决一个潜在的安全问题,以删除作为字符串参数注入(inject)到我的 WebAPI 方法中的单引号(这需要在整个应用程序中完成)。
我试图通过创建一个执行必要操作的 Action Filter 来实现这一点
public class ValidateActionParametersAttribute : ActionFilterAttribute, IActionFilter
{
public override void OnActionExecuting(HttpActionContext actionExecutedContext)
{
var parameters = actionExecutedContext.ActionArguments;
var parameterList = parameters.Values.ToList();
parameterList.Where(x => x.GetType() == typeof(string)).ToList().ForEach(y => y = y.ToString().Replace("\'", ""));
base.OnActionExecuting(actionExecutedContext);
}
}
并在我的 WebApiConfig 中全局注册
config.Filters.Add(new ValidateActionParametersAttribute());
但是当我在代码中放置一个断点后检查时,在 ActionFilter 中完成的参数更改似乎没有反射(reflect)出来。有人可以指导我做错了什么吗?
最佳答案
您没有更新 arguments 字典中的值,而只是替换了传递给 ForEach 的 lambda 函数的 y 参数。
由于 ActionArguments 是一本字典,您可以执行以下操作:
var stringArgs = context.ActionArguments.Where(pair => pair.Value is string).ToList();
foreach (var keyValue in stringArgs)
{
var safeValue = ((string)keyValue.Value).Replace("\'", "");
context.ActionArguments[keyValue.Key] = safeValue;
}
这将获取所有字符串参数并将它们替换为安全版本。
关于c# - 如何使用 Action 过滤器更改输入参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52856320/