科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道[冷枫]ASP.NET中执行URL重写经典方案

[冷枫]ASP.NET中执行URL重写经典方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

介绍如何使用 Microsoft ASP.NET 执行动态 URL 重写。URL 重写是截取传入 Web 请求并自动将请求重定向到其他 URL 的过程。讨论实现 URL 重写的各种技术,并介绍执行 URL 重写的一些实际情况。

作者:冷枫 来源:CSDN 2007年9月22日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

使用 HTTP 模块执行 URL 重写

在 ASP.NET 级别执行 URL 重写时,可以使用 HTTP 模块或 HTTP 处理程序来执行重写。使用 HTTP 模块时,必须决定在请求有效期内的哪个时间点上来检查 URL 是否需要重写。乍一看,这似乎可以任意选择,但决定会以一种明显而微妙的方式对应用程序产生影响。由于内置 ASP.NET HTTP 模块使用 request 对象的属性执行任务,因此选择在何处执行重写非常重要。(如上所述,重写路径将改变 Request 对象的属性值。)下面列出了这些密切相关的内置 HTTP 模块及其捆绑到的事件:

HTTP 模块 事件 说明

formsauthenticationmodule

authenticaterequest

确定用户是否通过了窗体身份验证。如果没有,用户将被自动重定向到指定的登录页面。

fileauthorizationmoudle

authorizerequest

使用 Windows 身份验证时,此 HTTP 模块将检查以确保 Microsoft? Windows? 帐户对被请求的资源具有足够的权限。

urlauthorizationmodule

authorizerequest

检查以确保请求者可以访问指定的 URL。通过 Web.config 文件中的 <authorization> 和 <location> 元素来指定 URL 授权。

如上所述,BeginRequest 事件在 authenticaterequest 之前触发,后者在 authenticaterequest 之前触发。

可以执行 URL 重写的一个安全位置是在 beginrequest 事件中。也就是说,如果 URL 需要重写,该操作将在任何一个内置 HTTP 模块运行后执行。使用窗体身份验证时,这种方法存在一定的缺陷。如果您以前使用过窗体身份验证,您会了解当用户访问受限资源时,他们将被自动重定向到指定的登录页面。成功登录后,用户将被返回到他们第一次尝试访问的页面。

如果在 beginrequestauthenticaterequest 事件中执行 URL 重写,登录页面(提交后)将把用户重定向到重写后的页面上。也就是说,假设用户在其浏览窗口中键入了 /people/ScottMitchell.aspx,此地址将被重写为 /info/employee.aspx?empID=1001。如果将 Web 应用程序配置为使用窗体身份验证,当用户第一次访问 /people/ScottMitchell.aspx 时,首先,URL 将被重写为 /info/employee.aspx?empID=1001;接下来,formsauthenticationmodule 将运行,并将用户重定向到登录页面(如果需要)。但是,用户在成功登录后将被发送到 /info/employee.aspx?empID=1001,因为当 formsauthenticationmodule 运行后,此 URL 即是请求的 URL。

同样,在 beginrequestauthenticaterequest 事件中执行重写时,urlauthorizationmodule 看到的将是重写后的 URL。也就是说,如果您在 Web.config 文件中使用 <location> 元素来为特定的 URL 指定授权,则必须引用重写后的 URL。

要解决这些细微问题,您可以决定在 authorizerequest 事件中执行 URL 重写。此方法解决了 URL 授权和窗体身份验证的一些问题,但同时也产生了新的问题:文件授权无法工作。使用 Windows 身份验证时,fileauthorizationmodule 将检查以确保通过身份验证的用户具有访问特定 ASP.NET 页面的相应权限。

假设一组用户对 C:\Inetput\wwwroot\info\employee.aspx 没有 Windows 级别的文件访问权限,并要尝试访问 /info/employee.aspx?empID=1001,他们将会收到授权错误消息。但是,如果我们将 URL 重写移到 authenticaterequest 事件中,当 fileauthorizationmodule 检查安全设置时,仍然认为被请求的文件是 people/ScottMitchell.aspx,因为该 URL 必须被重写。因此,文件授权检查将通过,允许此用户查看重写后的 URL /info/employee.aspx?empID=1001 的内容。

那么,应该何时在 HTTP 模块中执行 URL 重写?这取决于要使用的身份验证类型。如果不想使用任何身份验证,则无论 URL 重写发生在 beginrequestauthenticaterequest 还是 authorizerequest 中都没有什么关系。如果要使用窗体身份验证而不使用 Windows 身份验证,请将 URL 重写放在 authorizerequest 事件处理程序中执行。最后,如果要使用 Windows 身份验证,请在 beginrequestauthenticaterequest 事件进行过程中安排 URL 重写。

在 HTTP 处理程序中执行 URL 重写

也可以由 HTTP 处理程序或 HTTP 处理程序工厂执行 URL 重写。如上所述,HTTP 处理程序是负责生成特定类型请求的内容的类;HTTP 处理程序工厂是负责返回 HTTP 处理程序实例的类,该实例可以生成特定类型请求的内容。

在本文中,我们将对如何为 ASP.NET 网页创建 URL 重写 HTTP 处理程序工厂进行讨论。HTTP 处理程序工厂必须实现 ihttphandlerfactory 接口,此接口包括 GetHandler() 方法。初始化相应的 HTTP 模块后,ASP.NET 引擎将确定为给定的请求调用哪个 HTTP 处理程序或 HTTP 处理程序工厂。如果要调用 HTTP 处理程序工厂,ASP.NET 引擎将为 Web 请求调用传入 httpcontext 的 HTTP 处理程序工厂的 gethandler() 方法,以及一些其他信息。然后,HTTP 处理程序工厂必须返回一个对象,该对象将实现可以处理请求的 ihttphandler

要通过 HTTP 程序程序执行 URL 重写,我们可以创建一个 HTTP 处理程序工厂,该处理程序工厂的 gethandler() 方法将检查被请求的路径,以确定是否需要重写 URL。如果需要,它可以调用传入的 httpcontext 对象的 rewritepath() 方法,如前面所讨论的。最后,HTTP 处理程序工厂可以返回由 system.web.ui.pageparser 类的 getcompiledpageinstance() 方法返回的 HTTP 处理程序。(此技术与内置 ASP.NET 网页 HTTP 处理程序工厂 pagehandlerfactory 工作时所应用的技术相同。)

由于所有 HTTP 模块都将在实例化自定义 HTTP 处理程序工厂之前进行初始化,因此,在将 URL 重写放在事件的后半段时,使用 HTTP 处理程序工厂就会带来相同的风险,即文件授权无法工作。因此,如果您依赖于 Windows 身份验证和文件授权,您可能希望为 URL 重写使用 HTTP 模块方法。

在下一部分中,我们将对构建可重用的 URL 重写引擎进行讨论。在介绍了 URL 重写引擎(可通过下载本文的代码获得)之后,我们将在剩下的两个部分中对 URL 重写的实际使用情况进行介绍。首先,我们将讨论如何使用 URL 重写引擎,并介绍一个简单的 URL 重写示例。接下来,我们将利用重写引擎的正则表达式功能来提供真正“可删节”的 URL。

构建 URL 重写引擎

为了有助于描述如何在 ASP.NET Web 应用程序中实现 URL 重写,我创建了 URL 重写引擎。此重写引擎将提供以下功能:

?

使用 URL 重写引擎的 ASP.NET 页面开发人员可以在 Web.config 文件中指定重写规则。

?

重写规则可以使用正则表达式来实现功能强大的重写规则。

?

可以轻松地将 URL 重写配置为使用 HTTP 模块或 HTTP 处理程序。

在本文中,我们将介绍仅使用 HTTP 模块的 URL 重写。要查看如何使用 HTTP 处理程序来执行 URL 重写,请参考可随本文下载的代码。

为 URL 重写引擎指定配置信息

让我们先介绍一下 Web.config 文件中重写规则的结构。首先,您需要在 Web.config 文件中指明要使用 HTTP 模块还是 HTTP 处理程序来执行 URL 重写。在下载代码中,Web.config 文件包含两个已注释掉的条目:

<!--<httpModules>   <add type="URLRewriter.ModuleRewriter, URLRewriter"         name="ModuleRewriter" /></httpModules>--><!--<httpHandlers>   <add verb="*" path="*.aspx"         type="URLRewriter.RewriterFactoryHandler, URLRewriter" /></httpHandlers>-->

注释掉 <httpModules> 条目,以使用 HTTP 模块执行重写;注释掉 <httpHandlers> 条目,以使用 HTTP 处理程序执行重写。

除了指定使用 HTTP 模块还是 HTTP 处理程序执行重写外,Web.config 文件还包含重写规则:重写规则由两个字符串组成:要在被请求的 URL 中查找的模式;要替换此模式的字符串(如果找到)。在 Web.config 文件中,此信息是使用以下语法表达的:

<RewriterConfig>   <Rules>   <RewriterRule>      <LookFor>要查找的模式</LookFor>      <SendTo>要用来替换模式的字符串</SendTo>   </RewriterRule>   <RewriterRule>      <LookFor>要查找的模式</LookFor>      <SendTo>要用来替换模式的字符串</SendTo>   </RewriterRule>   ...   </Rules></RewriterConfig>

每个重写规则均由 <rewriterrule> 元素表达。要搜索的模式由 <lookfor> 元素指定,而要替换所找到的模式的字符串将在 <sentto> 元素中输入。这些重写规则将从头到尾进行计算。如果发现与某个规则匹配,URL 将被重写,并且对重写规则的搜索将会终止。

在 <lookfor> 元素中指定模式时,请注意,要使用正则表达式来执行匹配和字符串替换。(稍后,我们将介绍一个真实的示例,说明如何使用正则表达式来搜索模式。)由于模式是正则表达式,应确保转义正则表达式中的任何保留字符。(一些正则表达式保留字符包括:.、?、^、$ 及其他。可以通过在前面加反斜杠(如 \.)对这些字符进行转义,以匹配文字句点。)

使用 HTTP 模块执行 URL 重写

创建 HTTP 模块与创建可以实现 ihttpmodule 接口的类一样简单。ihttpmodule 接口定义了两种方法:

?

Init(HttpApplication)。此方法在初始化 HTTP 模块后触发。在此方法中,您将把事件处理程序绑定到相应的 httpapplication 事件。

?

Dispose()。当请求已完成并已发送回 IIS 时调用此方法。您应当在此处执行所有最终的清除操作。

为了便于为 URL 重写创建 HTTP 模块,我将从创建抽象基类 basemodulerewriter 开始介绍。此类将实现 ihttpmodule。在 Init() 事件中,它将 httpapplicationauthorizerequest 事件绑定到 basemodulerewriter_authorizerequest 方法。basemodulerewriter_authorizerequest 方法将调用该类传入被请求的 pathrewrite() 方法,以及传入 init() 方法的 httpapplication 对象。rewrite() 方法是抽象的,也就是说,在 basemodulerewriter 类中,rewrite() 方法没有方法主体;从 basemodulerewriter 派生而来的类必须覆盖此方法并提供方法主体。

具有此基类后,只需创建由 basemodulerewriter 派生的类即可,该类可以覆盖 rewrite() 并在那里执行 URL 重写逻辑。下面显示了 basemodulerewriter 的代码。

public abstract class BaseModuleRewriter : IHttpModule{   public virtual void Init(HttpApplication app)   {      // 警告!此代码不适用于 Windows 身份验证!      // 如果使用 Windows 身份验证,      // 请改为 app.BeginRequest      app.AuthorizeRequest += new          EventHandler(this.BaseModuleRewriter_AuthorizeRequest);   }   public virtual void Dispose() {}   protected virtual void BaseModuleRewriter_AuthorizeRequest(     object sender, EventArgs e)   {      HttpApplication app = (HttpApplication) sender;      Rewrite(app.Request.Path, app);   }   protected abstract void Rewrite(string requestedPath,      HttpApplication app);}

请注意,BaseModuleRewriter 类将在 authorizerequest 事件中执行 URL 重写。如上所述,如果将 Windows 身份验证与文件授权结合使用,您需要对此做出更改,以便可以在 beginrequestauthenticaterequest 事件中执行 URL 重写。

ModuleRewriter 类扩展了 basemodulerewriter 类,并负责执行实际的 URL 重写。modulerewriter 包含单一覆盖方法(rewrite()),如下所示:

protected override void Rewrite(string requestedPath,    System.Web.HttpApplication app){   // 获得配置规则   RewriterRuleCollection rules =      RewriterConfiguration.GetConfig().Rules;   // 遍历每个规则...   for(int i = 0; i < rules.Count; i++)   {      // 获得要查找的模式,并且      // 解析 Url(转换为相应的目录)      string lookFor = "^" +         RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath,         rules[i].LookFor) + "___FCKpd___6quot;;      // 创建 regex(请注意,已设置 IgnoreCase...)      Regex re = new Regex(lookFor, RegexOptions.IgnoreCase);      // 查看是否找到了匹配的规则      if (re.IsMatch(requestedPath))      {         // 找到了匹配的规则 -- 进行必要的替换         string sendToUrl = RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath,             re.Replace(requestedPath, rules[i].SendTo));         // 重写 URL         RewriterUtils.RewriteUrl(app.Context, sendToUrl);         break;      // 退出 For 循环      }   }}

Rewrite() 方法从获取 Web.config 文件中的一组重写规则开始。然后,它将遍历重写规则,每次遍历一个,对于每个规则,它将获取规则的 lookfor 属性,并使用正则表达式来确定是否在被请求的 URL 中找到了匹配的规则。

如果找到了匹配的规则,将在具有 SendTo 属性值的被请求路径上执行正则表达式替换。然后,替换后的 URL 将被传递到 rewriterutils.rewriteurl() 方法中。rewriterutils 是一个 helper 类,此类将提供一对由 URL 重写 HTTP 模块和 HTTP 处理程序使用的静态方法。rewriterurl() 方法仅调用 httpcontext 对象的 rewriteurl() 方法。

注意:您可能已注意到,执行正则表达式匹配和替换时,将调用 rewriterutils.resolveurl()。此 helper 方法只替换具有应用程序路径值的字符串中的所有 ~ 实例。

url 重写引擎的整个代码可随本文下载。我们已经介绍了大部分密切相关的组件,但还有一些其他组件(例如,对 Web.config 文件中 XML 格式的重写规则进行反序列化以使其成为对象的类),以及用于 URL 重写的 HTTP 处理程序工厂。本文剩余的三个部分将对 URL 重写的实际使用情况进行介绍。

使用 URL 重写引擎执行简单的 URL 重写

为了实际演示 URL 重写引擎,我们来构建一个使用简单 URL 重写的 ASP.NET Web 应用程序。假设我们所工作的公司通过网络销售分类产品。这些产品分为以下几个类别:

类别 ID 类别名称

1

饮料

2

调味品

3

糖果

4

奶制品

...

...

假设我们已创建了名为 ListProductsByCategory.aspx 的 ASP.NET 网页,该网页在查询字符串中接受类别 ID 值,并显示属于该类的所有产品。因此,要查看我们销售的饮料的用户可以访问 ListProductsByCategory.aspx?CategoryID=1,而那些要查看奶制品的用户可以访问 ListProductsByCategory.aspx?CategoryID=4。此外,还假设我们有一个名为 ListCategories.aspx 的页面,该页面列出了待售的所有产品类别。

很显然,这是一个 URL 重写事例,因为提供给用户的 URL 没有为用户带来任何意义,也没有为他们提供任何“可删节性”。因此,让我们使用 URL 重写,以便在用户访问 /Products/Beverages.aspx 时,他们的 URL 将被重写为 ListProductsByCategory.aspx?CategoryID=1。我们可以在 Web.config 文件中使用以下 URL 重写规则来实现此功能。

<RewriterConfig>   <Rules>      <!-- 产品制表者规则 -->      <RewriterRule>         <LookFor>~/Products/Beverages\.aspx</LookFor>         <SendTo>~/ListProductsByCategory.aspx?CategoryID=1</SendTo>      </RewriterRule>      <RewriterRule>   </Rules></RewriterConfig>

正如您可以看到的,此规则将进行搜索,以查看用户请求的路径是否为 /Products/Beverages.aspx。如果是,它便将 URL 重写为 /ListProductsByCategory.aspx?CategoryID=1。

注意:请注意,<lookfor> 元素对 Beverages.aspx 中的句点进行了转义。这是因为在正则表达式模式中使用了 <lookfor> 值,并且句点是正则表达式中的特殊字符,该字符表示“匹配任意字符”,例如,与 URL /Products/BeveragesQaspx 匹配。通过转义句点(使用 \.),可以表明我们要匹配的是文字句点,而不是任何旧的字符。

有了此规则之后,当用户访问 /Products/Beverages.aspx 时,页面上将显示待售的饮料。图 3 显示了访问 /Products/Beverages.aspx 的浏览器的快照。请注意,在浏览器的地址栏中,URL 将读取 /Products/Beverages.aspx,但用户实际看到的是 ListProductsByCategory.aspx?CategoryID=1 的内容。(实际上,Web 服务器上根本不存在 /Products/Beverages.aspx 文件!)


图 3. 重写 URL 之后请求类别

与 /Products/Beverages.aspx 相似,下面我们要为其他产品类别添加重写规则。此操作仅包括在 Web.config 文件的 <Rules> 元素内添加附加的 <rewriterrule> 元素。请参阅下载内容中的 Web.config 文件,以获取用于此演示的一组完整的重写规则。

为了使 URL 更具可删节性,最好使用户只需从 /Products/Beverages.aspx 中删除 Beverages.aspx 即可看到产品类别的列表。乍一看,这可能是一项很普通的任务(只需添加一个将 /Products/ 映射到 /ListCategories.aspx 的重写规则即可)。但此操作存在一个微妙之处,即您必须首先创建一个 /Products/ 目录,并在 /Products/ 目录中添加一个空的 Default.aspx 文件。

要理解需要执行这些额外步骤的原因,可以参考前面的内容,即 URL 重写引擎位于 ASP.NET 级别上。也就是说,如果 ASP.NET 引擎永远没有机会处理请求,URL 重写引擎就没有办法检测传入的 URL。而且,请记住,仅当被请求的文件具有相应的扩展名时,IIS 才会将传入请求传递给 ASP.NET 引擎。因此,如果用户访问 /Products/,而 IIS 没有看到任何文件扩展名,那么它将检查目录,以查看是否存在这样一个文件,即该文件名为默认文件名中的一个。(Default.aspx、Default.htm、Default.asp 等等。“IIS 管理”对话框中“Web 服务器属性”对话框的“文档”选项卡对这些默认文件名进行了定义。)当然,如果 /Products/ 目录不存在,IIS 将返回 HTTP 404 错误。

因此,我们需要创建 /Products/ 目录。另外,我们还需要在此目录中创建一个文件 Default.aspx。这样,当用户访问 /Products/ 时,IIS 将检测目录,查看是否存在一个名为 Default.aspx 的文件,然后将处理过程传递给 ASP.NET 引擎。然后,URL 重写器将在重写 URL 时分解。

创建目录和 Default.aspx 文件后,请继续操作,并向 <rules> 元素中添加以下重写规则:

<RewriterRule>   <LookFor>~/Products/Default\.aspx</LookFor>   <SendTo>~/ListCategories.aspx</SendTo></RewriterRule>

有了此规则之后,当用户访问 /Products/ 或 /Products/Default.aspx 时,他们将看到产品类别列表,如图 4 所示。


4. 向 URL 添加“可删节性”

处理回发

如果要重写的 URL 中包含一个服务器端的 Web 窗体并执行回发,则窗体回发后,将使用带下划线的 URL。也就是说,如果用户在浏览器中输入 /Products/Beverages.aspx,他们在浏览器地址栏中看到的将是 /Products/Beverages.aspx,但是他们看到的内容将是 ListProductsByCategory.aspx?CategoryID=1 的内容。如果 ListProductsByCategory.aspx 执行了回发,用户将被回发到 ListProductsByCategory.aspx?CategoryID=1,而不是 /Products/Beverages.aspx。这样不会中断任何内容,但从用户的角度考虑,如果单击按钮时突然看到 URL 更改会使他们感到不安。

出现这种情况的原因是:在呈现 Web 窗体时,它会将其操作属性直接设置为 Request 对象中文件路径的值。当然,在呈现 Web 窗体时,URL 已从 /Products/Beverages.aspx 重写为 ListProductsByCategory.aspx?CategoryID=1,这表明 Request 对象报告用户要访问 ListProductsByCategory.aspx?CategoryID=1。只需使服务器端窗体不呈现操作属性即可解决此问题。(默认情况下,如果窗体不包含操作属性,浏览器将会回发。)

不幸的是,web 窗体不允许您明确指定操作属性,也不允许您设置某些属性以禁用操作属性的呈现。因此,我们必须自己来扩展 System.Web.HtmlControls.HtmlForm 类,覆盖 RenderAttribute() 方法并明确指出它不会呈现操作属性。

由于继承功能,我们可以获得 HtmlForm 类的所有功能,并且只需添加几行代码即可获得所需的行为。以下显示了自定义类的完整代码:

namespace ActionlessForm {  public class Form : System.Web.UI.HtmlControls.HtmlForm  {     protected override void RenderAttributes(HtmlTextWriter writer)     {        writer.WriteAttribute("name", this.Name);        base.Attributes.Remove("name");        writer.WriteAttribute("method", this.Method);        base.Attributes.Remove("method");        this.Attributes.Render(writer);        base.Attributes.Remove("action");        if (base.ID != null)           writer.WriteAttribute("id", base.ClientID);     }  }}

已被覆盖的 renderattributes() 方法的代码仅包含 htmlform 类的 renderattributes() 方法的准确代码,而不设置操作属性。(我使用 Lutz Roeder 的 Reflector 来查看 htmlform 类的源代码。)

创建此类并对其进行编译之后,要在 ASP.NET Web 应用程序中使用它,应首先将其添加到 Web 应用程序的 References 文件夹中。然后,要使用它来代替 htmlform 类,只需在 ASP.NET 网页的顶部添加以下内容即可:

<%@ Register TagPrefix="skm" Namespace="ActionlessForm"    Assembly="ActionlessForm" %>

然后,将 <form runat="server">(如果有)替换为:

<skm:Form id="Form1" method="post" runat="server">

并将右边的 </form> 标记替换为:

</skm:Form>

您可以在 ListProductsByCategory.aspx(包含在本文的下载代码中)中发现操作中的此自定义 Web Form 类。下载内容中还包含了用于无操作 Web Form 的 Visual Studio .NET 项目。

注意:如果要重写的目标 URL 没有执行回发,则无需使用此自定义 Web Form 类。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章