Ensemble 403 page d'erreur en MVC

Juste un petit conseil/note d'ailleurs Max B. réponse:

Quand je suis en utilisant des erreurs j'en fais un ErrorsController, et de supprimer l'autorisation ActionResult et effectuez les opérations suivantes:

<error statusCode="403" redirect="/Errors/UnAuthorize" />

Cette façon, je peux ajouter des informations supplémentaires ou faire d'autres actions dans mon contrôleur, par exemple:

• Telles que la connexion à la base de données que quelqu'un a essayé d'accéder à un authentifié zone.
• Erreur de comptage.
• Peut-être un bug ou un formulaire de rapport qu'ils peuvent utiliser pour envoyer à l'administrateur de l'information.
• ...

De cette façon, vous avoir un peu plus de contrôle sur ce qui se passe.

OriginalL'auteur Kevin Cloet

J'ai eu exactement le même problème que vous aviez quand j'ai écrit mon propre AuthorizeAttribute. Les messages d'erreur personnalisés page 403 de ne pas s'afficher quand j'ai ajouté "customErrors" balise web.config.
C'est comment je l'ai résolu:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
           filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                ); 

        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

Affecté à une route que je voudrais afficher à filterContext.Résultat, au lieu d'affecter 403 HttpStatusCode.

OriginalL'auteur Amna Ali

Comment gérer 401 (non autorisé), 403 (Interdit) et 500 (Erreur Interne du Serveur) dans mvc. Pour ajax/non-appels ajax et sous aspx formes d'authentification.

Il peut être modifié pour gérer les différentes les exceptions non traitées de manière différente et réagit différemment si la demande est ajax ou pas. L'authentification permet de contourner n'importe quel web mvc formes rediriger à la page d'identification et, au lieu de retourner 401 non autorisé - alors votre côté client js cadre peut réagir à l'état http 401/403 plus facilement.

//FilterConfig.cs:
filters.Add(new ApplicationAuthorizeAttribute());
filters.Add(new ApplicationHandleErrorAttribute());
public class ApplicationAuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
//Note: To reach here, a Web.config path-specific rule 'allow users="?"' is needed (otherwise it redirects to login)
var httpContext = filterContext.HttpContext;
var request = httpContext.Request;
var response = httpContext.Response;
if (request.IsAjaxRequest())
{
response.SuppressFormsAuthenticationRedirect = true;
response.TrySkipIisCustomErrors = true;
}
filterContext.Result = new HttpUnauthorizedResult();
}
}
public class ApplicationHandleErrorAttribute : HandleErrorAttribute
{
public override void OnException(ExceptionContext context)
{
var exception = context.Exception is AggregateException
? ((AggregateException)context.Exception).InnerExceptions.First()
: context.Exception;
var request = context.HttpContext.Request;
var response = context.HttpContext.Response;
var isAjax = request.IsAjaxRequest();
if (exception is MyCustomPermissionDeniedException)
{
filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.Forbidden);
response.TrySkipIisCustomErrors = isAjax;
filterContext.ExceptionHandled = true;
return;
}
#if DEBUG
if (!isAjax)
{
//Show default aspx yellow error page for developers
return;
}
#endif
var requestUri = request.Url == null ? "" : request.Url.AbsoluteUri;
MyCustomerLogger.Log(exception, requestUri);
response.Clear();
response.StatusCode = (int)System.Net.HttpStatusCode.InternalServerError;
#if DEBUG
var errorMessage = exception.Message;
#else
var errorMessage = "An error occurred, please try again or contact the administrator.";
#endif
response.Write(isAjax
? JsonConvert.SerializeObject(new {Message = errorMessage})
: errorMessage);
response.End();
response.TrySkipIisCustomErrors = true;
context.ExceptionHandled = true;
}
}

Web.config:

<system.webServer>
<authentication mode="Forms">
<forms name=".MYAUTHCOOKIE" protection="All" loginUrl="/Account/Login" timeout="18000" slidingExpiration="true" enableCrossAppRedirects="false" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
</system.webServer>
<!-- ajax api security done via ApplicationAuthorizeAttribute -->
<location path="api">
<system.web>
<authorization>
<allow users="?"/>
</authorization>
</system.web>
</location>

Voie supplémentaire pour l'api de service web demandes: (mettre au-dessus régulier mvc route)

//This route has special ajax authentication handling (no redirect to login page)
routes.MapRoute(
name: "DefaultApi",
url: "api/{controller}/{action}/{id}",
defaults: new { id = UrlParameter.Optional }
);

Échantillon côté client code jquery pour gérer l'erreur:

$.ajaxSetup({
complete: function onRequestCompleted(xhr, textStatus) {
if (xhr.readyState == 4 && xhr.status == 401) {
//Not needed with smart status: && xhr.responseText.substring(0, 150).indexOf("<title>Log in") != -1
//location.href = "/Account/Login";
alert("Your session has timed out.");
}
}
});

Sinon, vous pouvez faire toutes auth passer par ApplicationHandleErrorAttribute, et de se débarrasser de ce site web.config refuser à des utilisateurs="?". Mais j'ai un héritage page aspx qui n'ont pas accès à la mvc de filtrage donc, je veux que refuser aux utilisateurs="?".

OriginalL'auteur Curtis Yallop