问题描述
我有一个Web API项目,在asp.net核心中包含许多控制器,验证器,服务和存储库
由于安全性,我将在生产模式下禁用所有400个错误请求消息正文(从模型或...验证属性)
我如何在asp.net core 2.2中做到这一点?
解决方法
正如其他人在评论中指出的那样,这可能不是一个好主意,并且如果错误消息的设计正确,也不太可能提高安全性。
但是,如果您仍然希望这样做,一种方法是实现MVC操作过滤器:
public class BadRequestEmptyBodyFilter : IActionFilter,IOrderedFilter
{
public void OnActionExecuting(ActionExecutingContext context)
{
if (context.Result == null && !context.ModelState.IsValid)
{
context.Result = new ObjectResult(null)
{
StatusCode = StatusCodes.Status400BadRequest
};
}
}
public void OnActionExecuted(ActionExecutedContext context)
{
if (context.Exception != null || context.Result == null)
{
return;
}
var statusCodeResult = context.Result as IStatusCodeActionResult;
if (statusCodeResult?.StatusCode == StatusCodes.Status400BadRequest)
{
context.Result = new ObjectResult(null)
{
StatusCode = StatusCodes.Status400BadRequest
};
}
}
// Set this to a large negative number so it runs early in the pipeline
public int Order => -1000000;
}
然后在Startup
中注册。另外,您应该将ApiBehaviorOptions.SuppressModelStateInvalidFilter
设置为true以禁用默认的错误请求过滤器:
services.AddMvc(options =>
{
options.Filters.Add<BadRequestEmptyBodyFilter>();
})
.SetCompatibilityVersion(CompatibilityVersion.Version_2_2)
.ConfigureApiBehaviorOptions(options =>
{
options.SuppressModelStateInvalidFilter = true;
});