.Net Core 中间件之主机地址过滤(HostFiltering)源码解析
2018-09-19 02:48
591 查看
一、介绍
主机地址过滤中间件相当于一个白名单,标记哪些主机地址能访问接口。
二、使用
新建WebAPI项目,修改Startup中的代码段如下所示。下面表示允许主机名为“localhost”的主机访问(不区分大小写),其他主机地址访问此项目的接口都会返回400错误。
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
var hosts = new List<string>();
hosts.Add("localhost");
//添加配置
services.AddHostFiltering(x =>
{
x.AllowedHosts = hosts;//设置允许访问的Host 最少需要设置一个
x.AllowEmptyHosts = false;//是否允许请求头Host的值为空访问 默认值为true
x.IncludeFailureMessage = true;//true表示返回错误信息,false表示返回空 默认为true
});
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseHsts();
}
//使用中间件
app.UseHostFiltering();
app.UseMvc();
}
(正常访问)
上面为正常访问情况,为了模拟通过其他域名访问此接口,配置Host文件,在Host文件末尾加上下面一句话,通过地址https://baidu.com:5001/api/values来访问https://localhost:5001/api/values,这样做的目的是改变浏览器请求头中的Host的值为baidu.com。
localhost baidu.com
(返回400)
由于请求头中没有填写Host信息,浏览器自动解析地址,将baidu.com作为Host的值,由于baidu.com不在我们定义的允许访问的主机地址中,所以返回400。但是我们可以伪造请求头,如下图:
(伪造请求头)
也可以直接将Host的值为空,因为上面配置的是运行为空的主机名访问。
三、源码解析
既然是中间件,最重要的一个方法就是Invoke,因为这个方法会在每个请求中被调用。
public Task Invoke(HttpContext context)
{
var allowedHosts = EnsureConfigured();//获取配置的允许访问的Host集合列表
if (!CheckHost(context, allowedHosts))//通过Http上下文,获取当前请求的Host,并判断是否在运行访问的Host列表中
{
context.Response.StatusCode = 400;//如果不在访问列表中,返回400,并判断是否返回错误信息,如果返回错误信息,就将错误信息写到报文体中
if (_options.IncludeFailureMessage)
{
context.Response.ContentLength = DefaultResponse.Length;
context.Response.ContentType = "text/html";
return context.Response.Body.WriteAsync(DefaultResponse, 0, DefaultResponse.Length);
}
return Task.CompletedTask;
}
return _next(context);//委托 调用下一个中间件
}
private IList<StringSegment> EnsureConfigured()
{
if (_allowAnyNonEmptyHost == true || _allowedHosts?.Count > 0)//判断配置的是不是允许为空
{
return _allowedHosts;
}
var allowedHosts = new List<StringSegment>();
if (_options.AllowedHosts?.Count > 0 && !TryProcessHosts(_options.AllowedHosts, allowedHosts))
{
_logger.LogDebug("Wildcard detected, all requests with hosts will be allowed.");
_allowedHosts = allowedHosts;//将配置的值赋给_alloweHosts
_allowAnyNonEmptyHost = true;
return _allowedHosts;
}
if (allowedHosts.Count == 0)//Host至少配置一个
{
throw new InvalidOperationException("No allowed hosts were configured.");
}
if (_logger.IsEnabled(LogLevel.Debug))
{
_logger.LogDebug("Allowed hosts: {Hosts}", string.Join("; ", allowedHosts));
}
_allowedHosts = allowedHosts;
return _allowedHosts;
}
这个中间件逻辑很简单,总体来说就是判断请求头中的Host的值是否在配置的列表中,如果在,就下面一个中间件继续处理。如果不在,就返回400状态码。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- .net core 源码解析-web app是如何启动并接收处理请求
- Tomcat源码解析(八):Host
- 消息中间件 RocketMQ源码解析:定时消息与消息重试
- .net core 源码解析-web app是如何启动并接收处理请求
- 数据库中间件 Sharding-JDBC 源码分析 —— SQL 解析(一)之语法解析
- express3.4.8源码解析之路由中间件
- 数据库中间件 MyCAT 源码解析 —— 分片结果合并(一)
- 数据库中间件Mycat源码解析(一):初识Mycat
- 数据库分库分表中间件 Sharding-JDBC 源码分析 —— SQL 解析(四)之插入SQL
- 数据库中间件Mycat源码解析(二):Mycat的网络通讯层
- 数据库中间件 Sharding-JDBC 源码分析 —— SQL 解析(一)之语法解析
- TinyXml源码解析之解决XML中&符号过滤的问题
- TongWEB与JOnAS 对比,国产中间件战斗机东方通TongWEB源码解析
- 数据库中间件 Sharding-JDBC 源码分析 —— SQL 解析(一)之语法解析
- express3.4.8源码解析之中间件
- .net core 源码解析-mvc route的注册,激活,调用流程(三)
- 数据库中间件Mycat源码解析(四):Mycat的心跳管理
- .Net Core缓存组件(MemoryCache)源码解析
- .Net Core缓存组件(Redis)源码解析
- .net core 源码解析-web app是如何启动并接收处理请求(二) kestrel的启动