用ISAPI Filter设置HttpOnly属性
2013-10-07 15:02
197 查看
作者:TonyQu
说到ISAPI很多人会觉得很陌生,因为如果你是做ASP.NET开发的话,ISAPI的方式已经过时,取而代之的是HttpHandler和HttpModule,说到这两个东西很多人估计明白了,ISAPI可以说是早期实现请求拦截和处理的唯一途径,只是随着ASP.NET的流行,渐渐淡出了开发人员的视野。
此文的开发场景是这样的,我们公司使用古老的ASP语言,但是ASP的Response.Cookies属性中没有HttpOnly(但.Net的Cookie对象是有HttpOnly属性的),有帖子说可以利用Path属性来设置HttpOnly,可以这么做是因为我们在页面中设置cookie值的动作都会被转换成Set-Cookie头,如下
理论上讲设置Path是完全可行的,因为说白了就是在原来Path的基础上增加;HttpOnly,
但经试验表明这行不通,比如我用下面的代码
Response.Cookies(“user”).Path+=”;HttpOnly”;
得到的结果却是
Set-Cookie:user=t=bfabf0b1c1133a822;path=/3B%;HttpOnly
这显然是不行的,所以我们不得不考虑用ISAPI来实现。
ISAPI基础
首先,请不要把ISAPIExtension和ISAPIFilter混为一谈,这两个东西虽然只差一个字,但却完全是两样东西,所提供的接口是完全不一样的。ISAPIExtension是一个类似页面的dll,你可以对它做post或get提交,如http://localhost/abc.dll?a=1,从严格意义上讲它没有拦截的功能,和cgi差不多。而ISAPIFilter则是具有过滤功能的,你可以在IIS网站的属性中添加需要加载的ISAPIFilter,例如asp.net的实现也使用了一个ISAPIFilter,叫做aspnet_filter.dll。
ISAPIFilter说到底就是一个DLL,它有两个主要的接口:GetFilterVersion和HttpFilterProc,如下所示:
GetFilterVersion不仅仅是用来获得Filter版本这么简单,它可以用来过滤需要触发的事件,这些事件的详细信息你可以参考http://msdn.microsoft.com/en-us/library/ms825957.aspx。请注意,这里做的是或操作,而不是与操作,学过数理逻辑的应该明白这个是干嘛用的,就是值的叠加,说的再直接点,EventA|EventB就是我既要EventA也要EventB。
HttpFilterProc是主要入口,相当于Console程序中的main。上面这段代码是在这些事件触发时写入一个日志,这样便于调试。
说到这里我们来了解下通常开发一个ISAPIFilter的流程。
a.获得一个现有的ISAPIFilter项目,当做模板,这个网上很多,google一下就有了。
b.修改GetFilterVersion中的dwFlags的值来决定需要哪些事件
c.修改HttpFilterProc中的case分支,删除不需要的事件
d.在需要处理的事件中写代码。
有一件事必须提醒大家,在写ISAPI时,你千万不要忘了把这两个接口暴露出去,也就是定义DLL的EXPORTS,如下:
事件的执行顺序
在ASP.NET中我们有PageLifeCycle,ISAPIFilter也是如此,这些时间的执行顺序可以在http://msdn.microsoft.com/en-us/library/ms524855(VS.90).aspx上找到,下面的事件就是按执行顺序排列的。
SF_NOTIFY_READ_RAW_DATA
SF_NOTIFY_PREPROC_HEADERS
SF_NOTIFY_URL_MAP
SF_NOTIFY_AUTHENTICATION
SF_NOTIFY_AUTH_COMPLETE
SF_NOTIFY_SEND_RESPONSE
SF_NOTIFY_SEND_RAW_DATA
SF_NOTIFY_END_OF_REQUEST
SF_NOTIFY_LOG
SF_NOTIFY_END_OF_NET_SESSION
通过分析,我们知道要想获得Set-Cookieheader必须在ASP把页面处理完之后,因为ASP页面代码有可能会设置Cookie值,所以SF_NOTIFY_PREPROC_HEADERS事件并不合适,因为它是在收到请求后,处理页面前触发的,我们需要的是在页面处理完,发送前触发的事件,所以SF_NOTIFY_SEND_RESPONSE最合适。在下一节我们将讲解如何在该事件中添加处理代码。
如何遍历Set-Cookie
HttpFilterProc函数的第三个参数VOID*pvData是对应事件的数据,为了获得header里面的数据,我们会把它转换成PHTTP_FILTER_PREPROC_HEADERS,因为我们先要把Set-cookie的数据读出来,然后才能处理。
代码如下:
这里的szBuffer就是我们获得的Set-Cookie的字符串,这里要讲一下Set-Cookie到底是啥,因为很多程序员对Set-Cookie的含义和表示形式不是特别了解。
每次我们在页面中设置Cookie值,无论是ASP还是ASP.NET,都会把设置的操作转换为Set-Cookie中的一段字符串,如果你使用Fiddler或者HttpFox跟踪这些请求的话,你会发现头里面有一项就是Set-Cookie项,这项仅在有设置Cookie的操作时才会有。另外,Set-Cookie中的每一个Cookie字符串使用逗号分隔开的,如下
这里设置了名为test1和test2的两个cookie值,单个cookie的属性之间使用分号分隔的。也正是因为如此,这段代码中使用strtok来获得字符串中每一段用逗号分隔的cookie字符串,这里的cookieNum表示Set-cookie中cookie字符串的总数(注意,不是字符的总数)。
一旦我们获得了每一个cookie的字符串,我们就可以把;HttpOnly附加到这些字符串的最后,并最终把字符串拼起来组成Set-Cookie字符串,关于如何做字符串拼接本文就不多讲了,这完全是C++实现的问题。
如何覆盖Set-Cookie字符串
这里的设置cookie和我们平时在代码里做的可不太一样,因为我们要直接修改请求中的Set-Cookie,之所以是修改而不是增加新的Set-Cookie,是因为Set-Cookie在请求的header中只能有一个,
上面的代码把pvData转换成HTTP_FILTER_SEND_RESPONSE类型,这样我们就可以对Response进行操作,并通过调用它的SetHeader方法来设置Set-Cookieheader。
完整代码下载:isapi_sample.zip(VC6项目),最主要的是MyISAPI.cpp和MyISAPI.def文件,其他都是工程文件。
说到ISAPI很多人会觉得很陌生,因为如果你是做ASP.NET开发的话,ISAPI的方式已经过时,取而代之的是HttpHandler和HttpModule,说到这两个东西很多人估计明白了,ISAPI可以说是早期实现请求拦截和处理的唯一途径,只是随着ASP.NET的流行,渐渐淡出了开发人员的视野。
此文的开发场景是这样的,我们公司使用古老的ASP语言,但是ASP的Response.Cookies属性中没有HttpOnly(但.Net的Cookie对象是有HttpOnly属性的),有帖子说可以利用Path属性来设置HttpOnly,可以这么做是因为我们在页面中设置cookie值的动作都会被转换成Set-Cookie头,如下
Set-Cookie:user=t=bfabf0b1c1133a822;path=/
但如果要让cookie变成HttpOnly,就需要用如下格式:
[b]Set-Cookie:user=t=bfabf0b1c1133a822;path=/;HttpOnly[/b]
理论上讲设置Path是完全可行的,因为说白了就是在原来Path的基础上增加;HttpOnly,
但经试验表明这行不通,比如我用下面的代码
Response.Cookies(“user”).Path+=”;HttpOnly”;
得到的结果却是
Set-Cookie:user=t=bfabf0b1c1133a822;path=/3B%;HttpOnly
这显然是不行的,所以我们不得不考虑用ISAPI来实现。
ISAPI基础
首先,请不要把ISAPIExtension和ISAPIFilter混为一谈,这两个东西虽然只差一个字,但却完全是两样东西,所提供的接口是完全不一样的。ISAPIExtension是一个类似页面的dll,你可以对它做post或get提交,如
ISAPIFilter说到底就是一个DLL,它有两个主要的接口:GetFilterVersion和HttpFilterProc,如下所示:
BOOLWINAPI__stdcallGetFilterVersion(HTTP_FILTER_VERSION*pVer)
{/*Specifythetypesandorderofnotification*/
pVer->dwFlags=(SF_NOTIFY_PREPROC_HEADERS|SF_NOTIFY_AUTHENTICATION|
SF_NOTIFY_URL_MAP|SF_NOTIFY_SEND_RAW_DATA|SF_NOTIFY_LOG|SF_NOTIFY_END_OF_NET_SESSION);
pVer->dwFilterVersion=HTTP_FILTER_REVISION;
strcpy(pVer->lpszFilterDesc,"Uppercaseconversionfilter,Version1.0");
CFilemyFile("c:\\mylist.html",CFile::modeCreate|CFile::modeWrite);myFile.SeekToEnd();
charmyText[40];
strcpy(myText,"<B>GetFilterVersion</B><BR><BR>");
myFile.Write(myText,strlen(myText));
myFile.Close();
returnTRUE;
}
GetFilterVersion不仅仅是用来获得Filter版本这么简单,它可以用来过滤需要触发的事件,这些事件的详细信息你可以参考
DWORDWINAPI__stdcallHttpFilterProc(HTTP_FILTER_CONTEXT*pfc,DWORDNotificationType,VOID*pvData)
{CFilemyFile("c:\\mylist.html",CFile::modeWrite);myFile.SeekToEnd();
switch(NotificationType){caseSF_NOTIFY_ACCESS_DENIED:
myFile.Write("SF_NOTIFY_ACCESS_DENIED<BR>",strlen("SF_NOTIFY_ACCESS_DENIED<BR>"));break;
caseSF_NOTIFY_AUTH_COMPLETE:
myFile.Write("SF_NOTIFY_AUTH_COMPLETE<BR>",strlen("SF_NOTIFY_AUTH_COMPLETE<BR>"));break;
caseSF_NOTIFY_AUTHENTICATION:
myFile.Write("SF_NOTIFY_AUTHENTICATION<BR>",strlen("SF_NOTIFY_AUTHENTICATION<BR>"));break;
caseSF_NOTIFY_END_OF_NET_SESSION:
myFile.Write("SF_NOTIFY_END_OF_NET_SESSION<BR>",strlen("SF_NOTIFY_END_OF_NET_SESSION<BR>"));break;
caseSF_NOTIFY_END_OF_REQUEST:
myFile.Write("SF_NOTIFY_END_OF_REQUEST<BR>",strlen("SF_NOTIFY_END_OF_REQUEST<BR>"));break;
caseSF_NOTIFY_LOG:
myFile.Write("SF_NOTIFY_LOG<BR>",strlen("SF_NOTIFY_LOG<BR>"));break;
caseSF_NOTIFY_PREPROC_HEADERS:
myFile.Write("SF_NOTIFY_PREPROC_HEADERS<BR>",strlen("SF_NOTIFY_PREPROC_HEADERS<BR>"));break;
caseSF_NOTIFY_READ_RAW_DATA:
myFile.Write("SF_NOTIFY_READ_RAW_DATA<BR>",strlen("SF_NOTIFY_READ_RAW_DATA<BR>"));break;
caseSF_NOTIFY_SEND_RAW_DATA:
myFile.Write("SF_NOTIFY_SEND_RAW_DATA<BR>",strlen("SF_NOTIFY_SEND_RAW_DATA<BR>"));break;
caseSF_NOTIFY_SEND_RESPONSE:
myFile.Write("SF_NOTIFY_SEND_RESPONSE<BR>",strlen("SF_NOTIFY_SEND_RESPONSE<BR>"));break;
caseSF_NOTIFY_URL_MAP:
myFile.Write("SF_NOTIFY_URL_MAP<BR>",strlen("SF_NOTIFY_URL_MAP<BR>"));break;
caseSF_NOTIFY_SECURE_PORT:
myFile.Write("SF_NOTIFY_SECURE_PORT<BR>",strlen("SF_NOTIFY_SECURE_PORT<BR>"));break;
caseSF_NOTIFY_NONSECURE_PORT:
myFile.Write("SF_NOTIFY_NONSECURE_PORT<BR>",strlen("SF_NOTIFY_NONSECURE_PORT<BR>"));break;
default:
break;
}
myFile.Close();
returnSF_STATUS_REQ_NEXT_NOTIFICATION;
}
HttpFilterProc是主要入口,相当于Console程序中的main。上面这段代码是在这些事件触发时写入一个日志,这样便于调试。
说到这里我们来了解下通常开发一个ISAPIFilter的流程。
a.获得一个现有的ISAPIFilter项目,当做模板,这个网上很多,google一下就有了。
b.修改GetFilterVersion中的dwFlags的值来决定需要哪些事件
c.修改HttpFilterProc中的case分支,删除不需要的事件
d.在需要处理的事件中写代码。
有一件事必须提醒大家,在写ISAPI时,你千万不要忘了把这两个接口暴露出去,也就是定义DLL的EXPORTS,如下:
LIBRARY"isapi_sample"
EXPORTS
HttpFilterProc
GetFilterVersion
事件的执行顺序
在ASP.NET中我们有PageLifeCycle,ISAPIFilter也是如此,这些时间的执行顺序可以在
SF_NOTIFY_READ_RAW_DATA
SF_NOTIFY_PREPROC_HEADERS
SF_NOTIFY_URL_MAP
SF_NOTIFY_AUTHENTICATION
SF_NOTIFY_AUTH_COMPLETE
SF_NOTIFY_SEND_RESPONSE
SF_NOTIFY_SEND_RAW_DATA
SF_NOTIFY_END_OF_REQUEST
SF_NOTIFY_LOG
SF_NOTIFY_END_OF_NET_SESSION
通过分析,我们知道要想获得Set-Cookieheader必须在ASP把页面处理完之后,因为ASP页面代码有可能会设置Cookie值,所以SF_NOTIFY_PREPROC_HEADERS事件并不合适,因为它是在收到请求后,处理页面前触发的,我们需要的是在页面处理完,发送前触发的事件,所以SF_NOTIFY_SEND_RESPONSE最合适。在下一节我们将讲解如何在该事件中添加处理代码。
如何遍历Set-Cookie
HttpFilterProc函数的第三个参数VOID*pvData是对应事件的数据,为了获得header里面的数据,我们会把它转换成PHTTP_FILTER_PREPROC_HEADERS,因为我们先要把Set-cookie的数据读出来,然后才能处理。
代码如下:
1:caseSF_NOTIFY_SEND_RESPONSE:
2:pPH=(PHTTP_FILTER_PREPROC_HEADERS)pvData;
3:pPH->GetHeader(pfc,"Set-Cookie:",szBuffer,&dwSize);
4:
5:cookieNum=sizeof(strtok(szBuffer,","));
6:if(cookieNum>0)
7:{8://handlethecookiesthatarereadfromheader
9:...
10:}
这里的szBuffer就是我们获得的Set-Cookie的字符串,这里要讲一下Set-Cookie到底是啥,因为很多程序员对Set-Cookie的含义和表示形式不是特别了解。
每次我们在页面中设置Cookie值,无论是ASP还是ASP.NET,都会把设置的操作转换为Set-Cookie中的一段字符串,如果你使用Fiddler或者HttpFox跟踪这些请求的话,你会发现头里面有一项就是Set-Cookie项,这项仅在有设置Cookie的操作时才会有。另外,Set-Cookie中的每一个Cookie字符串使用逗号分隔开的,如下
Set-Cookie:test1=a;path=/,test2=b;path=/
这里设置了名为test1和test2的两个cookie值,单个cookie的属性之间使用分号分隔的。也正是因为如此,这段代码中使用strtok来获得字符串中每一段用逗号分隔的cookie字符串,这里的cookieNum表示Set-cookie中cookie字符串的总数(注意,不是字符的总数)。
一旦我们获得了每一个cookie的字符串,我们就可以把;HttpOnly附加到这些字符串的最后,并最终把字符串拼起来组成Set-Cookie字符串,关于如何做字符串拼接本文就不多讲了,这完全是C++实现的问题。
如何覆盖Set-Cookie字符串
这里的设置cookie和我们平时在代码里做的可不太一样,因为我们要直接修改请求中的Set-Cookie,之所以是修改而不是增加新的Set-Cookie,是因为Set-Cookie在请求的header中只能有一个,
HTTP_FILTER_SEND_RESPONSE*pResponse=(HTTP_FILTER_SEND_RESPONSE*)pvData;
BOOLfServer=TRUE;
fServer=pResponse->SetHeader(pfc,"Set-Cookie:",szHeader);
上面的代码把pvData转换成HTTP_FILTER_SEND_RESPONSE类型,这样我们就可以对Response进行操作,并通过调用它的SetHeader方法来设置Set-Cookieheader。
完整代码下载:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- wireshark中filter属性设置
- Filter(过滤器)之字符替换和编码设置
- FreeBSD IPFilter防火墙的安装与设置
- wireshare capture filter捕捉过滤的设置
- 07、Intent及其七大属性及intent-filter设置
- Eclipse的Logcat如何自动设置应用程序的filter
- HTTP 错误 404.2 - Not Found 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页
- 防火墙设置Netfilter/Iptables
- ISAPI_Rewrite IIS 目录301重定向设置
- HTTP 错误 404.2 - Not Found 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面
- [已解决]:调用 LoadLibraryEx 失败,在 ISAPI 筛选器 "c:\Windows\Microsoft.NET\Framework\v4.0.30319\\aspnet_filter.
- JSP乱码总结和自定义Filter设置编码
- 过滤器(Filter)应用之------设置页面缓存、用户的自动登录和敏感词过滤
- GetMediaType设置Filter输出类型的设置方法
- 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面。
- HTTP 错误 404.2 - Not Found 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面。
- isapi_rewrite多站点独立设置的方法
- JAVAEE之--------过滤器设置是否缓存(Filter)
- 处理【由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面】
- 动态设置BroadcastReceiver的IntentFilter