防止直接URL访问剃刀页面处理程序

问题描述 投票:0回答:3

我已经制作了剃刀页面来注销用户。当经过身份验证的用户访问路由/account/logout时,我想向他显示带有成功消息的页面,如果用户是匿名的,那么页面是unathorized。但是,直接URL输入不能访问此成功页面。

以下代码运行良好,除了任何人都可以导航到/account/logout/success作为正常页面(因为它不负责退出,它可能会令人困惑)。

public class LogoutModel : CustomPageModel
{
    private readonly SignInManager _signInManager;

    public LogoutModel(SignInManager signInManager) => _signInManager = signInManager;

    public async Task<IActionResult> OnGetAsync()
    {
        if (_signInManager.IsSignedIn(User))
        {
            await _signInManager.SignOutAsync();
            return RedirectToPage("Logout", "Success");
        }

        return Unauthorized();
    }

    public void OnGetSuccess()
    {
    }
}

如何防止处理程序OnGetSuccess直接访问?

c# asp.net-core razor-pages asp.net-core-2.2
3个回答
0
投票

Se this question是如何可能的。

不确定我是否建议走这条路线,因为它有点脏,而且是一个无可比拟的复杂解决方案。您可以为登录/注销用户返回不同的状态消息。

Logout.cshtml.cs

public class LogoutModel : CustomPageModel
{
    private readonly SignInManager _signInManager;

    public LogoutModel(SignInManager signInManager) => _signInManager = signInManager;

    public string StatusMessage { get; set; }

    public async Task<IActionResult> OnGetAsync()
    {
        if (_signInManager.IsSignedIn(User))
        {
            await _signInManager.SignOutAsync();
            StatusMessage = "Successfully logged out!";
            return Page();
        }
        else {
            StatusMessage = "Already logged out!";
            return Page();
        }

    }
}

Logout.cshtml

@page
@model X.LogoutModel

@Model.StatusMessage
0
投票

我通过使用Attribute和IPageFilter来解决它,它检查了Referer头。

首先,我创建了属性

[AttributeUsage(AttributeTargets.Method)]
public class ChildHandlerAttribute : Attribute
{
}

然后我用它装饰了GetOnSuccess()处理程序

[ChildHandler]
public void OnGetSuccess()
{
}

然后我实现了为子处理程序检查Referer头的过滤器。

public class ChildHandlerAsyncPageFilter : IAsyncPageFilter
{
    public async Task OnPageHandlerExecutionAsync(PageHandlerExecutingContext context, PageHandlerExecutionDelegate next)
    {
        var pageHandlerExecutedContext = await next();

        if (pageHandlerExecutedContext.HandlerMethod?.MethodInfo.GetCustomAttribute<ChildHandlerAttribute>() == null)
        {
            return;
        }

        var referrer = context.HttpContext.Request.Headers["Referer"].ToString();
        var request = pageHandlerExecutedContext.HttpContext.Request;

        if (!referrer.StartsWith($"{request.Scheme}://{request.Host}"))
        {
            pageHandlerExecutedContext.Result = new NotFoundResult();
        }
    }

    public Task OnPageHandlerSelectionAsync(PageHandlerSelectedContext context) => Task.CompletedTask;
}

最后,我在Startup.cs中将过滤器添加到管道中

services.AddMvc(options =>
{
    options.Filters.Add<ChildHandlerAsyncPageFilter>();
});
0
投票

在您的方案中,用户出局并重定向为匿名用户。所以不能说这里只有某些用户才能访问此操作。

你应该以其他方式解决这个问题。例如,您可以在LogOut Action中设置cookie中的值,然后检入Success Action。为了获得更高的安全性,应用MVC用于CSRF的模式。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.