Spiga

ASP.NET MVC: 使用自定义 ModelBinder 过滤敏感信息

2010-07-30 19:24 by 鹤冲天, 2126 visits, 收藏, 编辑

昨天发表了一篇随笔《ASP.NET MVC: 使用 Filters 附加过滤敏感信息功能》(以下简称《Filter过滤》),今天一早醒来发现一处重大漏洞,于是在发了一条评论指出存在问题,并希望有朋友能指正。可到现在也没见有朋友找出问题,索引再发一篇随笔,进行更正。

存在的漏洞 

《Filter过滤》一文中使用的代码如下: 

 1     public class SensitiveWordsFilterAttribute: ActionFilterAttribute
 2     {
 3         public override void OnActionExecuting(ActionExecutingContext filterContext)
 4         {
 5             var parameters = filterContext.ActionDescriptor.GetParameters();
 6             foreach (var parameter in parameters)
 7             {
 8                 if (parameter.ParameterType == typeof(string))
 9                 {
10                     //获取字符串参数原值
11                     var orginalValue = filterContext.ActionParameters[parameter.ParameterName] as string;
12                     //使用过滤算法处理字符串
13                     var filteredValue = SensitiveWordsFilter.Instance.Filter(orginalValue);
14                     //将处理后值赋给参数
15                     filterContext.ActionParameters[parameter.ParameterName] = filteredValue;
16                 }
17             }
18         }
19     }

 问题在第8行,SensitiveWordsFilterAttribute 目前只能对字符串类型这样的简单数据进行过滤,没有考虑到复杂类型,对下面代码就则无法实现过滤:

1     public class ArticlesController : Controller
2     {
3         [HttpPost]
4         public ActionResult Create(Article article)
5         {
6             //...
7         }
8         //...
9     }

 Article是一个自定义类:

1     public class Article: DomainModel
2     {
3         public int ID { getset; }
4         public string Title { getset; }
5         public string Content { getset; }
6         public DateTime CreationTime { getset; }
7     }

SensitiveWordsFilterAttribute 对自定义类型是不太好处理的,当然也有解决办法,如使用反射遍历访问Article的每一个字符串属性,进行过滤。

本文采用 ASP.NET MVC Model Binding 来实现目标。

 ASP.NET MVC Model Binding

 在ASP.NET MVC中,我们可以使用下面的方式来接收用户提交的数据:

 1     public class ArticlesController : Controller
 2     {
 3         public ActionResult Query(string title, DateTime? creationDate)
 4         {
 5             //...
 6         }
 7         [HttpPost]
 8         public ActionResult Create(Article article)
 9         {
10             //...
11         }
12     }

  这得益于 ASP.NET MVC ModelBinding 特性。使用这个特性,我们无需再使用 Request.Form["title"] 从 HTTP 请求中获取数据,也不需要再使用 DateTime.Parse() 或 DateTime.TryParse() 方法进行类型转换,也不再需要对实例的每一个属性逐一赋值。ModelBinding 特性将我们从这些无聊的低级工作中解放了出来,让我们专心去做高级的工作。

如上面代码所示,ModelBinding 既可以绑定简单数据类型,也可以绑定自定义类型,还可以绑定数组、集合、字典、二进制数据(byte[]),甚至还能用来接收文件上传。

ModelBinding 在绑定自定义类型时,还能够有选择的绑定指定属性或排除指定属性: 

1     public ActionResult Create([Bind(Include = "Name, Sex, Birthday")] Person person) 
2     { 
3         // ... 
4     } 
5     public ActionResult Create([Bind(Exclude = "ID")] Person person) 
6     { 
7         // ... 
8     }

 ASP.NET MVC ModelBinding 的功能相当完善,实现也比较复杂,具体是由 DefaultModelBinder 类来完成的。对于一些特定功能(如本文中的敏感信息过滤)可通过扩展 DefaultModelBinder 类的功能来实现。

具有敏感信息过滤功能 ModelBinder

 在面向对象的世界中,扩展功能最简单的方式就是继承。我们新建一个类 SensitiveWordsFilterModelBinder,继承自 DefaultModelBinder,重写 SetPropertyt 和 BindModel 方法,如下:

 1     public class SensitiveWordsFilterModelBinder : DefaultModelBinder
 2     {
 3         protected override void SetProperty(ControllerContext controllerContext, 
 4             ModelBindingContext bindingContext, PropertyDescriptor propertyDescriptor, object value)
 5         {
 6             if (propertyDescriptor.PropertyType == typeof(string)/* && value is string*/)
 7                 value = SensitiveWordsFilter.Instance.Filter(value as string);
 8             base.SetProperty(controllerContext, bindingContext, propertyDescriptor, value);
 9         }
10         public override object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
11         {
12             var value = base.BindModel(controllerContext, bindingContext);
13             if(bindingContext.ModelType == typeof(string)/* && value is string*/)
14                 value = SensitiveWordsFilter.Instance.Filter(value as string);
15             return value;
16         }
17     }

 重写 SetProperty 方法(3~9行)用来对自定义类型进行敏感信息过滤:对自定义类型来说,数据绑定主要针对属性,所有属性绑定完成,自定义类型的实例也就绑定完成了。重写 SetProperty 就是在给 string 类型的属性赋值前,增加敏感信息过滤这一步操作。相对使用 SensitiveWordsFilterAttribute + 反射 的方式处理自定义类型,SensitiveWordsFilterModelBinder 更加合理,效率也要高些。重写 SetProperty 时,可以通过 bindingContext.ModelType 获取所在类的类型,也可以通过 propertyDescriptor 获取当前属性的信息,还可以通过controllerContext获取当前controller的信息,通过这三个属性,我们可以有选择的进行过滤操作,以提高效率。

重写 BindModel 方法(10~16行)用来对 string 类型进行敏感信息过滤,string 是简单数据库类型,对它进行绑定时不会调用 SetProperty 方法,因此要单独进行处理。

仅仅有这个 ModelBinder 是不够的,MVC不知道什么情况下使用它,因此我们还要进行配置,使 SensitiveWordsFilterModelBinder 生效。

配置使用 SensitiveWordsFilterModelBinder

方式一:直接在参数上使用

1      public ActionResult Create([ModelBinder(typeof(SensitiveWordsFilterModelBinder))]Article article)
2      {
3          return null;
4      }
5      public ActionResult Create([ModelBinder(typeof(SensitiveWordsFilterModelBinder))]string title,
6                  [ModelBinder(typeof(SensitiveWordsFilterModelBinder))]string content, DateTime? creationTime)
7      {
8          return null;
9      }

 使用这种方式比较“ugly”,尤其是 ModelBinder 名字比较长的时候。这种方式的最大缺点是需要对每个参数进行标记。

方式二:标记在 Model 上 

1     [ModelBinder(typeof(SensitiveWordsFilterModelBinder))]
2     public class Article: DomainModel
3     {
4         //...
5     }

这种比较不错,只需在 Article 类上标记一次,所有 Controller 中的 Action 的 Article 类型的参数都将使用 SensitiveWordsFilterModelBinder。

但这种方式仅对自定义类型有效,对系统定义的类型,如:string,我们是很难给它加上 Attribute 的。

 方式三:在 Global.asax.cs 文件中处理:

1     protected void Application_Start()
2     {
3         ModelBinders.Binders.Add(typeof(Article), new SensitiveWordsFilterModelBinder());
4         ModelBinders.Binders.Add(typeof(string), new SensitiveWordsFilterModelBinder());
5     }

如上面代码,我们可为每一种类型,设置一个 ModerBinder。也可以像下面这样进行批量设置:

1      protected void Application_Start()
2      {
3          var sensitiveWordsFilterModelBinder = new SensitiveWordsFilterModelBinder();
4          var types = typeof(Article).Assembly.GetTypes().Where(t=>t.IsSubclassOf(typeof(DomainModel)));
5          foreach (var type in types)
6              ModelBinders.Binders.Add(type, sensitiveWordsFilterModelBinder);
7      }

这个就不多解释了。

使用 SensitiveWordsFilterModelBinder 方式的缺点

 有些 MVC 的初学者之前大多是做 ASP.NET,可能有时会使用 Request.Form["..."] 这种方式来接收数据,使用这种方式的地方都会成为系统的漏洞。

总结

ASP.Net MVC 采用了非常先进的设计思想,具有良好的可扩展性,可以通过各种方式轻松解决我们遇到的各种问题。

-------------------

思想火花,照亮世界

Add your comment

14 条回复

  1. #1楼 深山老林      2010-07-30 20:35
    不错,挺好。
     回复 引用 查看   
  2. #2楼 Yankee      2010-07-30 23:11
    不如在绑定之前直接对 post/get 的数据直接过滤。
     回复 引用 查看   
  3. #3楼 蓝蓝的天      2010-07-31 07:18
    asp.net 可以用用方法对post和get的数据进行处理后再使用啊, 这样不是更简捷方便吗
     回复 引用 查看   
  4. #4楼[楼主] 鹤冲天      2010-07-31 09:09
    @蓝蓝的天
    @Yankee
    过滤敏感信息有很多种方法,本文及前文使用的是ASP.NET MVC的机制进行过滤,也可以使用自定义 IHttpModule 的方式,当然也有 IIS 级别的过滤器。这三种方式过滤的层次不一样,各有优缺点。
    使用本文中的方法优点是,对过滤信息的定位准确:
    1.用户提交的数据很多,其中一部分要转换为强类型数据(如DateTime、int、bool)等,这些数据是不需要处理的;
    2.可以只过滤特定类型(如Article)的数据;
    3.可以只对特定Controller进行过滤;
    而其它两种类型的过滤相对盲目,很难做到定位准确。对ASP.NET MVC网站来说,SensitiveWordsFilterAttribute是一种不错的选择。
     回复 引用 查看   
  5. #5楼 麒麟      2010-07-31 09:56
    不错。很好。
     回复 引用 查看   
  6. #6楼 蓝蓝的天      2010-08-02 08:42
    恩 根据不同的需求选择合适的方法 ,学习了
     回复 引用 查看   
  7. #7楼 SeaSunK      2010-08-02 15:23
    的確是學習了,没错,我之前的确是在怀疑这个(
    if (propertyDescriptor.PropertyType == typeof(string)/* && value is string*/)

    但我随后想了想,POST过来的认为最后拿到的是key-value对值数据,所以就认为此处没什么问题~~
     回复 引用 查看   
  8. #8楼[楼主] 鹤冲天      2010-08-02 22:12
    @SeaSunK
    哈哈,咱们都犯了习惯性思维的错误。
     回复 引用 查看   
  9. #9楼 mrxliu      2010-08-20 00:35
    不错不错!!
     回复 引用 查看   
  10. #10楼 阿青      2011-03-04 13:45
    那么请问自定义的ModelBinder的
    SetProperty和BindModel
    分别在什么时候被调用?
     回复 引用 查看   
  11. #11楼[楼主] 鹤冲天      2011-03-06 17:57
    @阿青
    在绑定时自动调用,比较复杂,详细了解得查看源码。
     回复 引用 查看   
  12. #12楼 john23.net      2011-05-14 12:45
    SensitiveWordsFilter.Instance.Filter(orginalValue);
    这个方法在哪边 是你自己的方法吗
     回复 引用 查看   
  13. #13楼[楼主] 鹤冲天      2011-05-22 17:18
    @john23.net
    呵呵,这是个"伪代码",估计网上应该有类似功能的实现。
     回复 引用 查看   
  14. #14楼 kirin123      2011-06-19 22:02
    请问下BindModel和SetProperty两个方法各在什么情况下被调用,二者有着怎样的联系?
     回复 引用 查看   
发表评论

昵称: [登录] [注册]

主页:

邮箱:(仅博主可见)

评论内容:

  登录  注册

[使用Ctrl+Enter键快速提交评论]

0 1788714 tCeJVfmNuII=
最新IT新闻:
· 《愤怒的小鸟》在列 Win8首批游戏图赏
· NVIDIA 的邀请函能带来什么惊喜?
· 陪审团裁决“交互式Web”专利无效
· 未来iPhone将具备裸眼3D功能
· W3C主席:苹果谷歌移动浏览器威胁Web开放
» 更多新闻...