在 Asp.net Web 应用程序中,我们可以使用 web.config 文件中的以下代码行来拒绝 HttpVerbs,但 MVC 使用动作控制器进行路由,使用 Authorize 属性进行授权。
所以我们想创建自定义属性来处理这个问题。
如何创建自定义属性以在所有操作方法上默认拒绝某些 HTTP 动词,并且只允许 HTTPGet 和 HTTPPost。
<deny verbs="*" users="*" />
【问题讨论】:
标签: c# asp.net asp.net-mvc asp.net-mvc-4 asp.net-mvc-3
如果您想禁止所有动词 除了 GET 和 POST,您可以在 web.config 文件中执行以下操作。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="false">
<add verb="GET" allowed="true" />
<add verb="POST" allowed="true" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
示例代码及其他阅读here
通过将它放在 web.config 中,您可以“短路” .NET 管道并允许 IIS 选择是否响应请求(这对您的应用程序更有效)。
【讨论】:
HTTPGet 和HTTPPost...内置了属性。只需用这些来装饰你所有的动作方法。如果你想阻止任何不允许的动词,你真的应该在配置级别这样做。