什么时候可以安全地执行 Response.Redirect() 而不会引发异常？

Question

我有一个为我所有需要身份验证的页面扩展 System.Web.UI.Page 的中间类。该类主要进行自定义身份验证处理。

当访问权限不足的用户尝试访问页面时，我会尝试将用户重定向回登录页面，同时防止执行任何进一步的页面事件（即 Page_load）。想到的第一个解决方案是 Response.Redirect 的默认实现。当然，这样做的缺点是可能会抛出 ThreadAbortExceptions。

所以我的问题是：在页面生命周期中何时（如果有的话）执行 Response.Redirect() 而不抛出 ThreadAbortException 实际上是安全的吗？

public class CustomPage : System.Web.UI.Page
{
    protected override void OnInit(EventArgs e)
    {
        base.OnInit(e);
        if (!IsValid())
            Response.Redirect("login.aspx", true);
    }
}

Answer 1

如果您将 true 作为第二个参数传递，它永远不会“安全”——它总是会抛出异常。在内部，Response.Redirect() 调用Response.End()，直接中止当前线程。

在不引发异常的情况下截断HttpRequest 的唯一“安全”方法是使用HttpApplication.CompleteRequest()，但这会导致在当前请求中进一步执行代码。

Answer 2

很好奇，你为什么要自己做这个？如果有的话，您应该使用身份验证提供程序之一（最终，可以自定义 FormsAuthentication 以处理您能想到的几乎任何场景）。

然后，您可以在 web.config 文件中使用 authorization element 来指示匿名用户无法访问哪些页面/目录。 ASP.NET 将负责其余的工作，将用户重定向到您指定的登录页面，并在用户登录后重定向回来。

Answer 3

如果您不想要 ThreadAbort 异常，您应该将 False 传递给 endResponse 参数。当然，这意味着您必须处理页面的其余部分，这很难做到。

除非您正在做一些非常愚蠢的事情，例如持有锁，否则在 ASP.NET 页面中引发 ThreadAbort 异常是完全安全的。

另一种选择是使用 Server.Transfer。这比重定向具有更好的性能，但它也使用 ThreadAbort 异常。