ASP.NET在访问Controller的方法带参数时怎样防止黑客攻击

痛定思痛。 2023-10-06 11:30 1阅读 0赞

## 场景 ##

ASP.NET中MVC添加Controller以及访问其Action：

[https://blog.csdn.net/BADAO\_LIUMANG\_QIZHI/article/details/106796402][https_blog.csdn.net_BADAO_LIUMANG_QIZHI_article_details_106796402]

在上面访问Controller的方法时如果要给方法传递一个参数可以这样写

namespace HelloMVC.Controllers
    {
        public class HelloController : Controller
        {
            // GET: Hello
            public string index()
            {
                return "公众号：霸道的程序猿，推动编程相关教程";
            }
    
            public string Welcome(string name)
            {
                return "welcome"+name;
             }
        }
    }

比如这里给Welcome方法传递一个name参数，那么可以通过url中

[http://localhost:6388/Hello/Welcome?name=badao][http_localhost_6388_Hello_Welcome_name_badao]

进行传递

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0JBREFPX0xJVU1BTkdfUUlaSEk_size_16_color_FFFFFF_t_70][]

但是这样可能会别黑客传递一些可执行的脚本代码等，所以可以通过以下方法对参数进行编码

namespace HelloMVC.Controllers
    {
        public class HelloController : Controller
        {
            // GET: Hello
            public string index()
            {
                return "公众号：霸道的程序猿，推动编程相关教程";
            }
    
            public string Welcome(string name)
            {
             
                return "welcome" + HttpUtility.HtmlEncode(name);
            }
    
    
        }
    }

这样在接收参数时显示还是跟上面一样，但是传递的参数已经被重新编码。

也可以采用如下方式，效果是一样的。

[https_blog.csdn.net_BADAO_LIUMANG_QIZHI_article_details_106796402]: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/106796402
[http_localhost_6388_Hello_Welcome_name_badao]: http://localhost:6388/Hello/Welcome?name=badao
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0JBREFPX0xJVU1BTkdfUUlaSEk_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200616224458116.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0JBREFPX0xJVU1BTkdfUUlaSEk=,size_16,color_FFFFFF,t_70