如何防止直接访问 Asp.net Core 中的视图

Question

我想阻止直接访问视图。当单击用户电子邮件中的确认链接时，我有一个显示已确认电子邮件的视图。但是，问题是该视图的Url可以直接访问，我只是希望在单击电子邮件中的链接时访问它。

我已尝试过此选项，但由于 UrlReferer 在 Asp.net 核心中不可用，因此一直出错。此代码在 asp.net core 中不起作用，请有人帮助我。

如何在 ASp.net Core 2.x 中访问这些值：

filterContext.HttpContext.Request.UrlReferrer
filterContext.HttpContext.Request.Url.Host
filterContext.HttpContext.Request.UrlReferrer.Host

我在 Stack-overflow 上找到的代码 - 但它需要 System.Web，这在 asp.net 核心中不可用。

public class NoDirectAccessAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if (filterContext.HttpContext.Request.UrlReferrer == null ||
                    filterContext.HttpContext.Request.Url.Host != filterContext.HttpContext.Request.UrlReferrer.Host)
            {
            filterContext.Result = new RedirectToRouteResult(new
                           RouteValueDictionary(new { controller = "Home", action = "Index", area = "" })); 
        }
    }
}

推荐使用自定义属性的方式

[NoDirectAccess]
public ActionResult MyActionMethod()

Answer 1

1. 如果您确实需要UrlReferer，请创建如下过滤器：

    public class NoDirectAccessAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            var canAcess= false;

            // check the refer
            var referer= filterContext.HttpContext.Request.Headers["Referer"].ToString(); 
            if(!string.IsNullOrEmpty(referer)){
                var rUri = new System.UriBuilder(referer).Uri;
                var req = filterContext.HttpContext.Request;
                if(req.Host.Host==rUri.Host && req.Host.Port == rUri.Port && req.Scheme == rUri.Scheme ){
                    canAcess=true;
                }
            }

            // ... check other requirements

            if(!canAcess){
                filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = "Home", action = "Index", area = "" })); 
            }
        }
    }

现在您可以使用 [NoDirectAccess] 来装饰您的操作方法：

        [NoDirectAccess]
        public IActionResult Privacy()
        {
            return View();
        }

1. 不建议使用Referer 来授权请求​​，因为很容易伪造UrlReferer 的HTTP Header。

IMO，当用户单击确认链接时，最好将EmailConfirmed=true 存储在某处。然后你可以在验证时检查EmailConfirmed是否等于true。

    public class NoDirectAccessAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            var canAcess= false;

            // check the `EmailConfirmed` state

            // ... check other requirements

            if(!canAcess){
                filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = "Home", action = "Index", area = "" })); 
            }
        }
    }

Answer 2

一般来说，依赖请求的“referer”属性并不是一个好主意。浏览器实现可能不同，因此您可能会收到不一致的值。

如果 URL 是“公开的”，则您无法阻止用户在浏览器上键入该 URL。但是，您可以做的是向“获取”请求添加验证-例如，需要有关 URL 的一些附加信息-在您的情况下，例如用户 ID 和验证“代码”。这就是 asp.net 身份生成用于电子邮件确认的 URL 的方式。它包括用户 ID 和确认码。如果没有这些值作为 URL 的一部分，则可能会使请求无效并重定向到另一个页面（而不是电子邮件确认页面）。

例如，在 Razor 页面中，以下是如何验证请求的示例。 （重点是，它需要来自用户的额外输入，而不是普通的 URL。。）（你也可以在 MVC 中做类似的事情。）

       public async Task<IActionResult> OnGetAsync(string userId, string code)
        {
            if (userId == null || code == null)
            {
                return RedirectToPage("/Index");
            }

            var user = await _userManager.FindByIdAsync(userId);
            if (user == null)
            {
                throw new ApplicationException($"Unable to load user with ID '{userId}'.");
            }

            var result = await _userManager.ConfirmEmailAsync(user, code);
            if (!result.Succeeded)
            {
                throw new ApplicationException($"Error confirming email for user with ID '{userId}':");
            }

            return Page();
        }

上述代码验证的 URL 类似于：

http://[baseurl]/Account/ConfirmEmail?userId=ca5416dd-c93a-49a5-8fac-a9986dc91ed7&code=CfDJ8DWvHoaRg6JAv0rZ75jyEVx