原文:
一、介绍
主机地址过滤中间件相当于一个白名单,标记哪些主机地址能访问接口。
二、使用
新建WebAPI项目,修改Startup中的代码段如下所示。下面表示允许主机名为“localhost”的主机访问(不区分大小写),其他主机地址访问此项目的接口都会返回400错误。
public void ConfigureServices(IServiceCollection services) { services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1); var hosts = new List(); hosts.Add("localhost"); //添加配置 services.AddHostFiltering(x => { x.AllowedHosts = hosts;//设置允许访问的Host 最少需要设置一个 x.AllowEmptyHosts = false;//是否允许请求头Host的值为空访问 默认值为true x.IncludeFailureMessage = true;//true表示返回错误信息,false表示返回空 默认为true }); } public void Configure(IApplicationBuilder app, IHostingEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseHsts(); } //使用中间件 app.UseHostFiltering(); app.UseMvc(); }
(正常访问)
上面为正常访问情况,为了模拟通过其他域名访问此接口,配置Host文件,在Host文件末尾加上下面一句话,通过地址https://baidu.com:5001/api/values来访问https://localhost:5001/api/values,这样做的目的是改变浏览器请求头中的Host的值为baidu.com。
localhost baidu.com
(返回400)
由于请求头中没有填写Host信息,浏览器自动解析地址,将baidu.com作为Host的值,由于baidu.com不在我们定义的允许访问的主机地址中,所以返回400。但是我们可以伪造请求头,如下图:
(伪造请求头)
也可以直接将Host的值为空,因为上面配置的是运行为空的主机名访问。
三、源码解析
既然是中间件,最重要的一个方法就是Invoke,因为这个方法会在每个请求中被调用。
public Task Invoke(HttpContext context) { var allowedHosts = EnsureConfigured();//获取配置的允许访问的Host集合列表 if (!CheckHost(context, allowedHosts))//通过Http上下文,获取当前请求的Host,并判断是否在运行访问的Host列表中 { context.Response.StatusCode = 400;//如果不在访问列表中,返回400,并判断是否返回错误信息,如果返回错误信息,就将错误信息写到报文体中 if (_options.IncludeFailureMessage) { context.Response.ContentLength = DefaultResponse.Length; context.Response.ContentType = "text/html"; return context.Response.Body.WriteAsync(DefaultResponse, 0, DefaultResponse.Length); } return Task.CompletedTask; } return _next(context);//委托 调用下一个中间件 } private IListEnsureConfigured() { if (_allowAnyNonEmptyHost == true || _allowedHosts?.Count > 0)//判断配置的是不是允许为空 { return _allowedHosts; } var allowedHosts = new List (); if (_options.AllowedHosts?.Count > 0 && !TryProcessHosts(_options.AllowedHosts, allowedHosts)) { _logger.LogDebug("Wildcard detected, all requests with hosts will be allowed."); _allowedHosts = allowedHosts;//将配置的值赋给_alloweHosts _allowAnyNonEmptyHost = true; return _allowedHosts; } if (allowedHosts.Count == 0)//Host至少配置一个 { throw new InvalidOperationException("No allowed hosts were configured."); } if (_logger.IsEnabled(LogLevel.Debug)) { _logger.LogDebug("Allowed hosts: {Hosts}", string.Join("; ", allowedHosts)); } _allowedHosts = allowedHosts; return _allowedHosts; }
这个中间件逻辑很简单,总体来说就是判断请求头中的Host的值是否在配置的列表中,如果在,就下面一个中间件继续处理。如果不在,就返回400状态码。
posted on 2019-05-27 09:09 阅读( ...) 评论( ...)