通常,当我查看 ASP.Net MVC 应用程序时,路由表会在启动时进行配置,之后就不会被触及。
我对此有几个问题,但它们彼此密切相关:
背景:评论垃圾邮件发送者通常会从网站获取发布 URL,然后不再费心通过网站进行自动垃圾邮件发送。如果我定期将我的帖子 URL 修改为某个随机的 URL,垃圾邮件发送者将不得不返回该站点并找到正确的帖子 URL 以尝试发送垃圾邮件。如果该 URL 不断变化,我认为这可能会使垃圾邮件发送者的工作更加乏味,这通常意味着他们放弃受影响的 URL。
我会考虑实现我自己的 IRouteHandler 并将一些自定义逻辑放在我的自定义 ControllerActionInvoker 中。它将如何工作?路由表不会动态更改,但您可以在自定义 ControllerActionInvoker 中检查路由路径中的随机参数并调用或不调用相应的操作。
我的路线:
routes.Add
(
new Route
(
"blog/comment/{*data}",
new RouteValueDictionary(new {controller = "blog", action = "comment", data = ""}),
new MyRouteHandler()
)
);
我的 I 路由处理程序:
class MyRouteHandler : IRouteHandler
{
public IHttpHandler GetHttpHandler(RequestContext requestContext)
{
return new MyHttpHandler(requestContext);
}
}`
我的处理程序:
class MyHttpHandler : MvcHandler
{
public MyHttpHandler(RequestContext requestContext) : base(requestContext)
{
}
protected override void ProcessRequest(HttpContextBase httpContext)
{
IController controller = new BlogController();
(controller as Controller).ActionInvoker = new MyActionInvoker();
controller.Execute(RequestContext);
} }`
和我的动作 ivoker 应该对用于处理或不处理动作的自定义逻辑进行编码:
class MyActionInvoker : ControllerActionInvoker
{
protected override ActionResult InvokeActionMethod(MethodInfo methodInfo, IDictionary<string, object> parameters)
{
var data = ControllerContext.RouteData.GetRequiredString("data");
// put my custom logic to check whetever I'll handle the action or not. The data could be a parameter in the database for that purpose.
return base.InvokeActionMethod(methodInfo, parameters);
}
}
我不知道这是最好的解决方案,但现在它是我想到的。
考虑到实际的问题背景,通常的做法是包含一个动态创建的事务号。它应该存储在隐藏的表单字段以及服务器端会话字典中,并且仅对一个请求有效。
我认为今天很多框架都提供了这样的安全机制;而这种攻击类型被称为跨站点请求伪造(csrf)。