ASP.NET Core主機地址過濾HostFiltering


前言

在ASP.Net Core2.X調用的CreateWebHostBuilder和3.X的主要區別在於WebHost的調用,CreateDefaultBuilder被Host替換,另一個區別是對ConfigureWebHostDefaults()的調用;

由於新的主機生成器是通用主機生成器,因此我們也需要知道默認Web主機配置默認配置了什么.ConfigureWebHostDefaults為我們默認做了哪些配置?我們一起來看看他為我們默認配置的HostFiltering,HostFilteringMiddleware,其實他做的是對請求主機頭的限制,也相當於一個請求主機頭白名單,標識着某些主機頭你可以訪問,其余的你別訪問了我這邊未允許.

如何使用

在這之初打算的是為給大家分享一下如何配置;算了,我們一起開拓一下思維看看他是如何做的這個中間件吧.順便再說說當我們使用ASP.NET Core在我們使用中如何配置,使用主機頭白名單


 services.PostConfigure<HostFilteringOptions>(options =>
{
         if (options.AllowedHosts == null || options.AllowedHosts.Count == 0)
         {
         // "AllowedHosts": "localhost;127.0.0.1;[::1]"
         var hosts = Configuration["AllowedHosts"]?.Split(new[] { ';' }, StringSplitOptions.RemoveEmptyEntries);
         // Fall back to "*" to disable.
         options.AllowedHosts = (hosts?.Length > 0 ? hosts : new[] { "*" });
  }
});

HostFilteringOptions

  • AllowedHosts允許訪問的Host主機
  • AllowEmptyHosts是否允許請求頭Host的值為空訪問 默認為true
  • IncludeFailureMessage 返回錯誤信息,默認為true

在Configure方法中添加HostFiltering中間件

   public void Configure(Microsoft.AspNetCore.Builder.IApplicationBuilder app, IWebHostEnvironment env)

        {
            app.UseHostFiltering();
            app.Run(context =>
            {
                return context.Response.WriteAsync("Hello World! " + context.Request.Host);
            });
        }

appsettings.json

{
  "AllowedHosts": "127.0.0.1"
}

這樣就好了,那么我們再來測試一下看看.

源碼解析

        /// <summary>
        /// Processes requests
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public  Task Invoke(HttpContext context)
        {
            var allowedHosts = EnsureConfigured();//獲取允許Host集合

            if (!CheckHost(context, allowedHosts))//判斷當前Host是否在允許的Host集合中
            {
                return HostValidationFailed(context);//如果不在400
            }

            return _next(context);//繼續走下一個中間件
        }
        
        
        private Task HostValidationFailed(HttpContext context)
        {
            context.Response.StatusCode = 400;
            if (_options.IncludeFailureMessage)
            {
                context.Response.ContentLength = DefaultResponse.Length;
                context.Response.ContentType = "text/html";
                return context.Response.Body.WriteAsync(DefaultResponse, 0, DefaultResponse.Length);
            }
            return Task.CompletedTask;
        }
        private IList<StringSegment> EnsureConfigured()
        {
            if (_allowAnyNonEmptyHost == true || _allowedHosts?.Count > 0)//判斷配置是否為空
            {
                return _allowedHosts;
            }

            return Configure();
        }
        
        
        private IList<StringSegment> Configure()
        {
            var allowedHosts = new List<StringSegment>();
            if (_options.AllowedHosts?.Count > 0 && !TryProcessHosts(_options.AllowedHosts, allowedHosts))
            {
                _logger.WildcardDetected();
                _allowedHosts = allowedHosts;
                _allowAnyNonEmptyHost = true;
                return _allowedHosts;
            }

            if (allowedHosts.Count == 0)//至少一個Host
            {
                throw new InvalidOperationException("No allowed hosts were configured.");
            }

            if (_logger.IsEnabled(LogLevel.Debug))
            {
                _logger.AllowedHosts(string.Join("; ", allowedHosts));
            }

            _allowedHosts = allowedHosts;
            return _allowedHosts;
        }

總結

這篇文章主要也許能給大家開闊一下思維,其實他的實現邏輯很簡單,當我們請求帶着Host頭去訪問的時候,通過該中間件判斷該Host頭是否在我們預先配置好的里面,如果在里面那么就繼續請求下一個中間件,如果說不在那么不好意思400


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM