AntiXSS に基づいて HTML サニタイザーを作成し、標準の投稿リクエストで正常に動作するデフォルトのモデル バインダーをオーバーライドして、ユーザー入力文字列を自動的にサニタイズしました。ただし、新しい ApiController を使用する場合、デフォルトのモデル バインダーが呼び出されることはありません。これは、この新しい MVC コントローラーが代わりに JSON フォーマッターを使用して、リクエストの本文からの入力データをバインドするためだと思います。
では、JSON によってバインドされた後に文字列プロパティを変更できるように、フォーマッタを拡張するにはどうすればよいでしょうか? これをコントローラーレベルで実装する必要はなく、コントローラーに到達する前に実装する方法が必要です。
修正した Json フォーマッタを作成することで問題を解決しましたが、これを行う方法に関するドキュメントのほとんどは、.Net 4.0 のプレリリース コードに基づいています。
using System;
using System.Collections.Concurrent;
using System.Collections.Generic;
using System.Diagnostics.Contracts;
using System.Linq;
using System.IO;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Net.Http.Formatting;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Json;
using System.Text;
using System.Reflection;
using System.Threading.Tasks;
using System.Web;
using System.Web.Script.Serialization;
using Newtonsoft.Json;
using Newtonsoft.Json.Serialization;
public class JsonNetFormatterAntiXss : JsonMediaTypeFormatter
{
public override bool CanReadType(Type type)
{
return base.CanReadType(type);
}
public override bool CanWriteType(Type type)
{
return base.CanWriteType(type);
}
public override Task<object> ReadFromStreamAsync(Type type, Stream readStream, HttpContent content, IFormatterLogger formatterLogger)
{
HttpContentHeaders contentHeaders = content == null ? null : content.Headers;
// If content length is 0 then return default value for this type
if (contentHeaders != null && contentHeaders.ContentLength == 0)
{
return Task.FromResult(MediaTypeFormatter.GetDefaultValueForType(type));
}
// Get the character encoding for the content
Encoding effectiveEncoding = SelectCharacterEncoding(contentHeaders);
try
{
using (JsonTextReader jsonTextReader = new JsonTextReader(new StreamReader(readStream, effectiveEncoding)) { CloseInput = false, MaxDepth = _maxDepth })
{
JsonSerializer jsonSerializer = JsonSerializer.Create(_jsonSerializerSettings);
if (formatterLogger != null)
{
// Error must always be marked as handled
// Failure to do so can cause the exception to be rethrown at every recursive level and overflow the stack for x64 CLR processes
jsonSerializer.Error += (sender, e) =>
{
Exception exception = e.ErrorContext.Error;
formatterLogger.LogError(e.ErrorContext.Path, exception);
e.ErrorContext.Handled = true;
};
}
return Task.FromResult(DeserializeJsonString(jsonTextReader, jsonSerializer, type));
}
}
catch (Exception e)
{
if (formatterLogger == null)
{
throw;
}
formatterLogger.LogError(String.Empty, e);
return Task.FromResult(MediaTypeFormatter.GetDefaultValueForType(type));
}
}
private object DeserializeJsonString(JsonTextReader jsonTextReader, JsonSerializer jsonSerializer, Type type)
{
object data = jsonSerializer.Deserialize(jsonTextReader, type);
// sanitize strings if we are told to do so
if(_antiXssOptions != AntiXssOption.None)
data = CleanAntiXssStrings(data); // call your custom XSS cleaner
return data;
}
/// <summary>
/// Clean all strings using internal AntiXss sanitize operation
/// </summary>
/// <param name="data"></param>
/// <returns></returns>
private object CleanAntiXssStrings(object data)
{
PropertyInfo[] properties = data.GetType().GetProperties();
foreach (PropertyInfo property in properties)
{
Type ptype = property.PropertyType;
if (ptype == typeof(string) && ptype != null)
{
// sanitize the value using the preferences set
property.SetValue(data, DO_MY_SANITIZE(property.GetValue(data).ToString()));
}
}
return data;
}
public override Task WriteToStreamAsync(Type type, object value, Stream writeStream, HttpContent content, System.Net.TransportContext transportContext)
{
return base.WriteToStreamAsync(type, value, writeStream, content, transportContext);
}
private DataContractJsonSerializer GetDataContractSerializer(Type type)
{
Contract.Assert(type != null, "Type cannot be null");
DataContractJsonSerializer serializer = _dataContractSerializerCache.GetOrAdd(type, (t) => CreateDataContractSerializer(type, throwOnError: true));
if (serializer == null)
{
// A null serializer means the type cannot be serialized
throw new InvalidOperationException(String.Format("Cannot serialize '{0}'", type.Name));
}
return serializer;
}
private static DataContractJsonSerializer CreateDataContractSerializer(Type type, bool throwOnError)
{
if (type == null)
{
throw new ArgumentNullException("type");
}
DataContractJsonSerializer serializer = null;
Exception exception = null;
try
{
// Verify that type is a valid data contract by forcing the serializer to try to create a data contract
XsdDataContractExporter xsdDataContractExporter = new XsdDataContractExporter();
xsdDataContractExporter.GetRootElementName(type);
serializer = new DataContractJsonSerializer(type);
}
catch (InvalidDataContractException invalidDataContractException)
{
exception = invalidDataContractException;
}
if (exception != null)
{
if (throwOnError)
{
throw new InvalidOperationException(String.Format("Can not serialize type '{0}'.", type.Name), exception);
}
}
return serializer;
}
}
このコードは、JsonMediaTypeFormatter のJson.NET 実装とこの記事に基づいています。私の AntiXSS の実装については、あえて投稿しませんでした。AntiXSS 4.2.1 とカスタム解析を組み合わせて使用しているのは、そのライブラリが非常に過保護であるためです。