6

我正在使用 Microsoft ASP.NET Web API 构建 RESTful 服务。

我的问题涉及当出现问题(例如 400 Bad Request 或 404 Not Found)时 Web API 会返回给用户的 HttpErrors。

问题是,我不想在响应内容中获得序列化的 HttpError ,因为它有时会提供太多信息,因此它违反了 OWASP 安全规则,例如:

要求:

http://localhost/Service/api/something/555555555555555555555555555555555555555555555555555555555555555555555

作为回应,我当然得到 400,但包含以下内容信息:

{
 "$id": "1",
 "Message": "The request is invalid.",
 "MessageDetail": "The parameters dictionary contains a null entry for parameter 'id'  of non-nullable type 'System.Int32' for method 'MyNamespaceAndMethodHere(Int32)' in 'Service.Controllers.MyController'. An optional parameter must be a reference type, a nullable type, or be declared as an optional parameter."
}

这样的事情不仅表明我的 WebService 基于 ASP.NET WebAPI 技术(这还不错),而且还提供了一些关于我的命名空间、方法名称、参数等的信息。

我试图在 Global.asax 中设置 IncludeErrorDetailPolicy

GlobalConfiguration.Configuration.IncludeErrorDetailPolicy = IncludeErrorDetailPolicy.Never;

是的,这在某种程度上做得很好,现在结果不包含 MessageDetail 部分,但我仍然不想得到这个 HttpError 。

我还构建了我的自定义 DelegatingHandler,但它也会影响我自己在控制器中生成的 400 和 404,这是我不希望发生的。

我的问题是:有什么方便的方法可以从响应内容中删除序列化的 HttpError 吗?我希望用户得到的只是响应代码。

4

2 回答 2

2

使用自定义 IHttpActionInvoker 怎么样?基本上,您只需发送一个空的 HttpResponseMessage。

这是一个非常基本的示例:

public class MyApiControllerActionInvoker : ApiControllerActionInvoker
{
    public override Task<HttpResponseMessage> InvokeActionAsync(HttpActionContext actionContext, System.Threading.CancellationToken cancellationToken)
    {
        var result = base.InvokeActionAsync(actionContext, cancellationToken);

        if (result.Exception != null)
        {
            //Log critical error
            Debug.WriteLine("unhandled Exception ");

            return Task.Run<HttpResponseMessage>(() => new HttpResponseMessage(HttpStatusCode.InternalServerError));
        }
        else if (result.Result.StatusCode!= HttpStatusCode.OK)
        {
            //Log critical error
            Debug.WriteLine("invalid response status");

            return Task.Run<HttpResponseMessage>(() => new HttpResponseMessage(result.Result.StatusCode));
        }


        return result;
    }
}

在 Global.asax

GlobalConfiguration.Configuration.Services.Replace(typeof(IHttpActionInvoker), new MyApiControllerActionInvoker());

您可以做的另一件与 Web Api 无关的重要事情是删除过多的 asp.net 和 IIS HTTP 标头。是一个很好的解释。

于 2013-07-11T10:21:59.810 回答
1

我相信您使用消息处理程序的方法是正确的,因为无论 Web API 管道中将状态代码设置为 4xx 的组件如何,消息处理程序都可以清除响应正文。但是,您确实希望区分您明确设置的内容与其他组件设置的内容。这是我的建议,我承认这有点hacky。如果您没有其他更好的解决方案,请尝试一下。

在你的ApiController类中,当你抛出一个HttpResponseException,在请求属性中设置一个标志,就像这样。

Request.Properties["myexception"] = true;
throw new HttpResponseException(...);

在消息处理程序中,检查属性,如果设置了属性,则不要清除响应正文。

var response = await base.SendAsync(request, cancellationToken);

if((int)response.StatusCode > 399 && !request.Properties.Any(p => p.Key == "myException"))
    response.Content = null;

return response;

您可以通过向 HttpRequestMessage 添加一个扩展方法来很好地打包它,这样ApiController消息处理程序和我上面使用的硬编码字符串“myException”都不知道。

于 2013-07-11T12:56:17.843 回答