Http请求资源的过程可以看成一个管道:“Pipe”,并不是所有的请求都是合法的、安全的,其于功能、性能或安全方面的考虑,通常需要在这管道中装配一些处理程序来筛选和加工这些请求。这些处理程序就是中间件。
中间件之间的调用顺序就是添加中间件组件的顺序,调用顺序以于应用程序的安全性、性能、和功能至关重要。
如UserDeveloperExceptionPage中间件需要放在第一个被调用位置,因为回应的最后一步需要它来处理异常,如跳转到异常页面这样的操作。UseStaticFiles需要放在UseMvc前,因为Mvc中间件做了路由处理,(wwwroot)文件夹里的图片,js,html等静态资源路径没有经过路由处理,mvc中间件会直接返回404。
可以使用IApplicationBuilder创建中间件,IApplicationBuilder有依赖在StartUp.Configure方法参数中,可以直接使用。一般有三种方法使用中间件:use,run,map。其中如果用run创建中间件的话,第一个run就会中止表示往下传递,后边的use,run,map都不会起到任何作用。
Run:终端中间件,会使管道短路。
app.Run(async context => { await context.Response.WriteAsync("first run"); }); app.Run(async context => { await context.Response.WriteAsync("second run"); });
只会输出"first run"。
Map:约束终端中间件,匹配短路管道.匹配条件是HttpContext.Request.Path和预设值
app.Map("/map1", r => { r.Run(async d => { await d.Response.WriteAsync("map1"); }); }); app.Map("/map2", r => { r.Run(async d => { await d.Response.WriteAsync("map2"); }); });
访问 https://localhost:5002/map1 返回"map1",访问https://localhost:5002/map2时访问"map2"。都不符合时继续往下走。
Map有个扩展方法MapWhen,可以自定义匹配条件:
app.MapWhen(context => context.Request.QueryString.ToString().ToLower().Contains("sid"), r => { r.Run(async d => { await d.Response.WriteAsync("map:"+d.Request.QueryString); }); });
Map和Run方法创建的都是终端中间件,无法决定是否继续往下传递,只能中断。
使用中间件保护图片资源
为防止网站上的图片资源被其它网页盗用,使用中间件过滤请求,非本网站的图片请求直接返回一张通用图片,本站请求则往下传递,所以run和map方法不适用,只能用use,use方法可以用委托决定是否继续往下传递。
实现原理:模式浏览器请求时,一般会传递一个名称为Referer的Header,html标签<img>等是模拟浏览器请求,所以会带有Referer头,标识了请求源地址。可以利用这个数据与Request上下文的Host比较判断是不是本站请求。有以下几点需要注意:https访问http时有可能不会带着Referer头,但http访问https,https访问http时都会带,所以如果网站启用了https就能一定取到这个Header值。还有一点Referer这个单词是拼错了的,正确的拼法是Refferer,就是早期由于http标准不完善,有写Refferer的,有写Referer的。还有就是浏览器直接请求时是不带这个Header的。这个中间件必需在app.UseStaticFiles()之前,因为UseStaticFiles是一个终端中间件,会直接返回静态资源,不会再往下传递请求,而图片是属于静态资源。
app.Use(async (context,next) => { //是否允许空Referer头访问 bool allowEmptyReffer=true; //过滤图片类型 string[] imgTypes = new string[] { "jpg", "ico", "png" }; //本站主机地址 string oriUrl = $"{context.Request.Scheme}://{context.Request.Host.Value}".ToLower(); //请求站地址标识 var reffer = context.Request.Headers[HeaderNames.Referer].ToString().ToLower(); reffer = string.IsNullOrEmpty(reffer) ? context.Request.Headers["Refferer"].ToString().ToLower():reffer; //请求资源后缀 string pix = context.Request.Path.Value.Split(".").Last(); if (imgTypes.Contains(pix) && !reffer.StartsWith(oriUrl)&&(string.IsNullOrEmpty(reffer)&&!allowEmptyReffer)) { //不是本站请求返回特定图片 await context.Response.SendFileAsync(Path.Combine(env.WebRootPath, "project.jpg")); } //本站请求继续往下传递 await next(); });
这样配置虽然可以工作的,但也是有问题的,因为直接发送文件,没有顾得上HTTP的请求状态设置,SendFile后就没管了,当然,本站请求直接next的请求没有问题,因为有下一层的中间件去处理状态码。下面是打印出的异常
fail: Microsoft.AspNetCore.Server.Kestrel[13] Connection id "0HLPLOP3KV1UI", Request id &q