我试图找到一种方法来阻止我的aspnetcore应用程序将“?ReturnUrl =”添加到URL。有谁知道如何使用某种中间件来做到这一点。
我尝试按照以下方式进行操作,但没有任何效果:
public class RequestHandlerMiddleware
{
private readonly RequestDelegate _next;
public RequestHandlerMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task Invoke(HttpContext context)
{
if(context.Request.QueryString.HasValue && context.Request.QueryString.Value.Contains("?ReturnUrl="))
{
context.Request.QueryString = new QueryString(string.Empty);
}
await _next.Invoke(context);
}
}
public static class RequestHandlerMiddlewareExtension
{
public static IApplicationBuilder UseRequestHandlerMiddleware(this IApplicationBuilder builder)
{
return builder.UseMiddleware<RequestHandlerMiddleware>();
}
}
用
startup.cs
注册:public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseExceptionHandler("/error");
}
app.UseDefaultFiles();
app.UseStaticFiles();
app.UseAuthentication();
app.UseRequestHandlerMiddleware();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller}/{action=Index}/{id?}");
});
}
最后,我还尝试了较早的文章中的一些(调整过的)方法,涉及.NET框架here (on stackoverflow)的相同问题,但也失败了
编辑:除了“标准” [Authorize]属性外,我没有使用任何其他AuthorizationAttribute/Handler。仅有的:
services.AddAuthorization();
编辑2:我完全忘记了我也将启动的一部分注册在应用程序的其他位置,因为它是共享的:
public static IServiceCollection Load(IServiceCollection services, IConfiguration config)
{
services.AddDbContext<SqlContext>(options =>
{
options.UseSqlServer(config.GetConnectionString("DefaultConnection"));
});
services.AddIdentity<User, Role>(options =>
{
options.Lockout = new LockoutOptions
{
AllowedForNewUsers = true,
DefaultLockoutTimeSpan = TimeSpan.FromMinutes(30),
MaxFailedAccessAttempts = 5
};
})
.AddEntityFrameworkStores<SqlContext>()
.AddDefaultTokenProviders()
.AddUserStore<UserStore<User, Role, SqlContext, Guid>>()
.AddRoleStore<RoleStore<Role, SqlContext, Guid>>()
.AddUserManager<ApplicationUserManager>();
services.Configure<IdentityOptions>(options =>
{
options.Password.RequireDigit = false;
options.Password.RequiredLength = 5;
options.Password.RequireLowercase = true;
options.Password.RequireUppercase = false;
options.Password.RequireNonAlphanumeric = true;
});
services.ConfigureApplicationCookie(options =>
options.Events = new CookieAuthenticationEvents
{
OnRedirectToLogin = ctx =>
{
if (ctx.Request.Path.StartsWithSegments("/api") &&
ctx.Response.StatusCode == (int)HttpStatusCode.OK)
{
ctx.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
}
else if (ctx.Response.StatusCode == (int)HttpStatusCode.Forbidden)
{
ctx.Response.StatusCode = (int)HttpStatusCode.Forbidden;
}
else
{
ctx.Response.Redirect(ctx.RedirectUri);
}
return Task.FromResult(0);
}
});
return services;
}
最佳答案
首先想到的是:
[HttpGet]
public IActionResult LogIn()
{
if (!string.IsNullOrEmpty(Request.QueryString.Value))
return RedirectToAction("Login");
return View();
}
它将从URL中删除QueryString部分,以便“ReturnUrl”不会长时间停留在用户地址栏上,并将拒绝任何QueryString。更好的解决方法是创建您自己的AuthorizeAttribute版本,该版本不会将ReturnUrl放在QueryString中,但是似乎随着新的基于策略的授权方法的出现,不鼓励自定义AuthorizeAttribute。 more
使用基于策略的方法并创建自定义
AuthorizationHandler
也是可能的。(我将在尝试后立即发布更新)
关于c# - 在网络核心2中从Urls禁用/删除 '?ReturnUrl=',我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/49609240/