次のWebAPIコントローラーアクションがあるとします。
// GET api/values
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
クエリ文字列のパラメータが存在しない場合でも、次のリクエストの実行は失敗しません。
http://localhost:22297/api/values?someinvalidparameter=10
クエリ文字列のすべてのパラメーターが、呼び出されているアクションの有効なパラメーターであることを確認する方法はありますか?
すべてのクエリパラメーターがアクションパラメーターに含まれていることを検証し、存在しない場合はスローするアクションフィルターを作成できます。
using System;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Web.Http.Controllers;
using System.Web.Http.Filters;
namespace My.Namespace.Filters
{
/// <summary>
/// Action filter that checks that parameters passed in the query string
/// are only those that we specified in methods signatures.
/// Otherwise returns 404 Bad Request.
/// </summary>
public class ValidateQueryParametersAttribute : ActionFilterAttribute
{
/// <summary>
/// This method runs before every WS invocation
/// </summary>
/// <param name="actionContext"></param>
public override void OnActionExecuting(HttpActionContext actionContext)
{
//check that client does not use any invalid parameter
//but just those that are required by WS methods
var parameters = actionContext.ActionDescriptor.GetParameters();
var queryParameters = actionContext.Request.GetQueryNameValuePairs();
if (queryParameters.Select(kvp => kvp.Key).Any(queryParameter => !parameters.Any(p => p.ParameterName == queryParameter)))
{
actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.BadRequest);
}
}
}
}
これをすぐに使用できる検証サポートでうまく機能させるために、重複することなくURIパラメーターを複合型オブジェクトにバインドできる独自のアクションセレクターを作成しました。
したがって、このアクションセレクターを使用して次のことを実行できます。
public class CarsByCategoryRequestCommand {
public int CategoryId { get; set; }
public int Page { get; set; }
[Range(1, 50)]
public int Take { get; set; }
}
public class CarsByColorRequestCommand {
public int ColorId { get; set; }
public int Page { get; set; }
[Range(1, 50)]
public int Take { get; set; }
}
[InvalidModelStateFilter]
public class CarsController : ApiController {
public string[] GetCarsByCategoryId(
[FromUri]CarsByCategoryRequestCommand cmd) {
return new[] {
"Car 1",
"Car 2",
"Car 3"
};
}
public string[] GetCarsByColorId(
[FromUri]CarsByColorRequestCommand cmd) {
return new[] {
"Car 1",
"Car 2"
};
}
}
次に、アクションフィルタを登録して、ユーザー入力を検証して要求を終了し、検証エラーメッセージとともに「400BadRequest」応答を返すことができます。
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class InvalidModelStateFilterAttribute : ActionFilterAttribute {
public override void OnActionExecuting(HttpActionContext actionContext) {
if (!actionContext.ModelState.IsValid) {
actionContext.Response = actionContext.Request.CreateErrorResponse(
HttpStatusCode.BadRequest, actionContext.ModelState);
}
}
}
このアクションセレクターの詳細とその入手方法については、以下の投稿を確認してください。