علی سالمیان علی سالمیان
مطالب
تبدیل خودکار استثنای HttpRequestValidationException به یک ModelError در ASP.NET MVC
فرم هایی که اطلاعاتی را از یک کاربر دریافت کرده و به سمت سرور Post می‌کنند، از مهمترین اجزای لاینفک یک وب سایت می‌باشند. بی شک همه‌ی ما از چنین فرمهایی حتی در یک پروژه‌ی هرچند کوچک استفاده کرده‌ایم. ممکن است هنگام ارسال این فرمها، کاربری شیطنت به خرج داده و درون یکی از فیلدهای فرم، از عبارت‌های HTML و یا یک اسکریپت استفاده کرده باشد. در ASP.Net + MVC از مکانیزم ValidationRequest برای مقابله با چنین حملاتی (XSS) استفاده شده است.
یک فرم با یک Textbox در یک صفحه قرار دهید و درون Textbox یک تگ HTML بنویسید و آنرا به سرور ارسال کنید، در حالت پیش فرض اتفاقی که خواهد افتاد اینست که با یک صفحه‌ی خطا روبرو خواهید شد که به شما هشدار می‌دهد داده‌های ارسال شده، دارای مقادیر غیرمجازی می‌باشند. شما می‌توانید این مکانیزم اعتبارسنجی-امنیتی را غیرفعال کنید. برای غیرفعال کردن آن هم در لینکی که در فوق معرفی گردید توضیحات کافی داده شده است. ولی توصیه میشود برای جلوگیری از حملات XSS هیچگاه این مکانیزم را غیرفعال نکنید، مگر اینکه هیچ داده‌ای را بدون Encode کردن در صفحه نمایش ندهید.
راه‌های زیادی برای هندل کردن این خطا و مطلع کردن کاربر وجود دارند و معمولا از صفحه‌ی خطای سفارشی برای اینکار استفاده میشود. اما ایده‌ی بهتری نیز برای مقابله با این خطا وجود دارد!
فرض کنید اطلاعات فرم شما از طریق Ajax به سرور ارسال می‌شود و نتیجه بصورت Json به مروگر برگشت داده می‌شود. در حالت معمول در صورت رخ دادن خطای فوق، سرور کد 500 را برگشت می‌دهد و تنها راه هندل کردن آن در رویداد error شئ Ajax شما می‌باشد؛ آن‌هم با یک پیغام ساده. ولی من ترجیح می‌دهم به جای صادر کردن خطای 500، در صورت وقوع این خطا آن‌را بصورت یک خطای ModelState به کاربر نمایش دهم. به نظر من این‌کار وجهه‌ی بهتری دارد و ضمنا لازم نیست در هر رویدادی این خطا را هندل کنید. برای رسیدن به این هدف هم چندین راه وجود دارد که ساده‌ترین آن‌ها اینست که یک ModelBinder سفارشی ایجاد کنید و با هندل کردن این خطا، یک پیام خطا را به ModelState اضافه کنید و بعد به MVC بگویید که از این ModelBinder برای پروژه‌ی من استفاده کن. با این روش هرگاه کاربر داده‌ای حاوی کدهای HTML درون فیلدهای فرم وارد کرده باشد، بدون هیچ کار اضافه‌ای وضعیت ModelState شما Invalid می‌شود و خطای مدل به کاربر نمایش داده خواهد شد.
ابتدا کلاسی برای ModelBinder سفارشی خود ایجاد کنید و از کلاس DefaultModelBinder ارث بری کنید. سپس با بازنویسی متد BindModel آن منطق خود را پیاده سازی کنید:
using System.Web;
using System.Web.Mvc;
using System.Web.Helpers;
using System.Globalization;

namespace Parsnet
{
    public class ParsnetModelBinder : DefaultModelBinder
    {
        public override object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
        {
            try
            {
                return base.BindModel(controllerContext, bindingContext);
            }
            catch (HttpRequestValidationException ex)
            {
                var modelState = new ModelState();
                modelState.Errors.Add("اطلاعات ارسالی شما دارای کدهای HTML می‌باشند.");
                var key = bindingContext.ModelName;
                var value = controllerContext.RequestContext.HttpContext.Request.Unvalidated().Form[key];
                modelState.Value = new ValueProviderResult(value, value, CultureInfo.InvariantCulture);
                bindingContext.ModelState.Add(key, modelState);
            }

            return null;
        }
    }
}

در این کلاس ابتدا سعی میکنیم بطور عادی کار را به متد BindModel کلاس پایه بسپاریم. اگر داده‌های ارسال شده حاوی کد HTML نباشد، بدون هیچ خطایی Model Binding صورت می‌گیرد. ولی در صورتیکه کاربر در فیلدی، از کدهای HTML استفاده کرده باشد، یک خطای HttpRequestValidationException  رخ خواهد داد که با هندل کردن آن هدف خود را تامین می‌کنیم.
برای اینکار در قسمت catch بلوک مدیریت خطا، ابتدا یک نمونه از کلاس ModelState را میسازیم. بعد پیام خطای مورد نظر خود را به Errors‌های آن اضافه میکنیم. حال باید یک زوج کلید/مقدار برای این ModelState تعریف کنیم و به bindingContext اضافه کنیم. کلید ما در اینجا نام مدل جاری و مقدار آن هم نام فیلدی از فرم است که سبب بروز این خطا شده است.
حالا نهایت کاری که باید انجام دهیم اینست که در رویداد Application_Start این مدل بایندیگ سفارشی را جایگزین مدل بایندیگ پیش فرض کنیم:
 
    ModelBinders.Binders.DefaultBinder = new ParsnetModelBinder();

کار تمام است. از حالا به بعد در صورتیکه کاربر در فیلدهای هر فرمی از سایت شما از کدهای HTML استفاده کند دیگر خطایی رخ نمی‌دهد و فقط ModelState در وضعیت Invalid قرار میگیرد که میتوانید با قرار دادن یک ValidationMessage یا ValidationSummary به راحتی خطا را به کاربر نشان دهید.
‫۹ سال و ۳ ماه قبل، سه‌شنبه ۳۰ تیر ۱۳۹۴، ساعت ۰۶:۱۰
مسعود مشهدی مسعود مشهدی
اشتراک‌ها
مدیریت رویدادها در دات نت

مدیریت رویدادها و خطاها در پشت صحنه و اجرای بعضی از رویدادها و پروسه‌های به تاخیر افتاده بعداز رفع عیب توسط این سیستم بسیار عالی.

An easy way to perform background processing in your .NET and .NET Core applications. No Windows Service or separate process required.  

مدیریت رویدادها در دات نت
‫۷ سال و ۱۲ ماه قبل، دوشنبه ۳ آبان ۱۳۹۵، ساعت ۱۳:۳۷
رحمت اله رضایی رحمت اله رضایی
مطالب
روش نادرست اعمال دسترسی کاربر به منوها و کنترلهای فرم در windows form ها
معمولا وقتی صحبت از هک می‌شود بیشتر وب سایتها مدنظر هستند و کمتر به نرم افزارهای محیط desktop توجه می‌شود اما در محیط desktop هم امنیت بسیار مهم است.

یکی از مواردی که در رابطه با windows form‌ها (دات نتی و غیر دات نتی) بسیار به آن برخورد کرده ام اعمال دسترسی کاربر به قسمتهای مختلف فرم با مخفی یا غیر فعال کردن دکمه‌ها و کنترلهای فرم است. به این صورت که در هنگام لود فرم اصلی با توجه به دسترسی کاربر بعضی منوها مخفی می‌شوند و در لود هر فرم هم بعضی از دکمه‌ها و کنترلهای روی فرم مخفی یا غیر فعال می‌شوند. همین!

اما اگر کاربر به کمک ابزاری بتواند منوها و کنترلهای مخفی فرم را نمایش دهد و منوها و کنترلهای غیرفعال را فعال کند چی؟

کلاس زیر را در نظر بگیرید :
    public class HackWindowsForms
    {
        struct POINTAPI
        {
            public int X;
            public int Y;
        }

        [DllImport("user32.dll")]
        static extern int EnumChildWindows(int hWndParent, EnumChildCallbackDelegate enumChildCallback, int lParam);
        [DllImport("user32.dll")]
        static extern int EnableWindow(int hwnd, int fEnable);
        [DllImport("user32.dll")]
        static extern int WindowFromPoint(int x, int y);
        [DllImport("user32.dll")]
        static unsafe extern int GetCursorPos(POINTAPI* lpPoint);

        delegate int EnumChildCallbackDelegate(int hwnd, int lParam);

        public static void EnableThisWindowControls()
        {
            unsafe
            {
                POINTAPI cursorPosition = new POINTAPI();
                GetCursorPos(&cursorPosition);
                int winWnd = WindowFromPoint(cursorPosition.X, cursorPosition.Y);
                EnumChildWindows(winWnd, EnumChildCallback, 0);
            }
        }


        static int EnumChildCallback(int hwnd, int lParam)
        {
            EnableWindow(hwnd, 1);
            EnumChildWindows(hwnd, EnumChildCallback, 0);
            return 1;
        }
    }
یک پروژه ویندوز فرم ایجاد کنید و دکمه ای روی فرم قرار دهید. برای MouseUp آن کد زیر را بنویسید :
        private void button1_MouseUp(object sender, MouseEventArgs e)
        {
            HackWindowsForms.EnableThisWindowControls();
            MessageBox.Show("حالا روی دکمه مورد نظر کلیک کنید و کلید space را فشار دهید.", "", MessageBoxButtons.OK, MessageBoxIcon.Asterisk, MessageBoxDefaultButton.Button1, MessageBoxOptions.RtlReading);
        }
حالا اگر برنامه را اجرا کنید و روی دکمه کلیک کنید و ماوس را نگهدارید سپس روی نوار عنوان پنجره مورد نظر رها کنید، تمام کنترلهای روی آن پنجره فعال خواهند شد!
نمونه کد مشابهی هم برای نمایش منوها و کنترلهای مخفی شده می‌توان نوشت.

اما راه حل چیست؟
قبل از اجرای هر عملی که احتیاج به دسترسی دارد، دسترسی کاربر چک شود و فقط به غیر فعال و مخفی کردن کنترلها بسنده نشود. مثلا اگر دکمه ویرایش را غیر فعال کرده ایم در کلیک آن هم دسترسی چک شود.
‫۱۲ سال و ۴ ماه قبل، یکشنبه ۲۵ تیر ۱۳۹۱، ساعت ۰۵:۱۱
محمد طاهری محمد طاهری
نظرات مطالب
اتصال به SQL از راه دور (Remote) و یا به یک سرور در شبکه
سلام آقای مقدم
شما برای این کار زمانی که می‌خواهید Script  از Database خود تهیه کنید با پس از مشخص کردن Object‌های مورد نظر از قیبل (Table,SP,..) باید گزینه Advance رو کلیک کنید و در پنجره پیش رو کلیه‌ی تنظیماتی که در خصوص Object‌ها وجود دارد را می‌توانید انجام دهید .
و در آخر موضوعی که شما مد نظرتان است را می‌توانید با True کردن گزینه‌ی مربوط به Index می‌توانید کلید‌ها را هم انتقال بدهید.
انشالله تو این هفته سعی می‌کنم مقاله ای کامل در باره Script  در بانک اطلاعاتی در سایت قرار دهم.
 سئوالی بود در خدمتم
.
‫۹ سال و ۱۱ ماه قبل، شنبه ۱۵ آذر ۱۳۹۳، ساعت ۱۴:۱۵
وحید نصیری وحید نصیری
اشتراک‌ها
دریافت ایمیل به روز رسانی یک بسته‌ی NuGet خاص

اگر علاقمند هستید از به روز رسانی‌های بسته‌های نیوگت مورد علاقه‌ی خود مطلع شوید، می‌توانید از MyGet استفاده کنید. برای این منظور پس از ثبت نام در سایت MyGet، یک فید جدید را ایجاد کنید و بسته‌های مورد علاقه‌ی خود را به آن اضافه کنید. سپس در منوی سمت چپ صفحه‌ی فید ایجاد شده، گزینه‌ی Package Sources را انتخاب کرده و بر روی دکمه‌ی Edit آن کلیک کنید. در اینجا می‌توان انتخاب کرد که به روز رسانی‌های انجام شده به شما ایمیل شوند.

دریافت ایمیل به روز رسانی یک بسته‌ی NuGet خاص
‫۹ سال و ۷ ماه قبل، دوشنبه ۱۷ فروردین ۱۳۹۴، ساعت ۰۵:۳۳
محسن خان محسن خان
اشتراک‌ها
ویندوز 10 ارائه شد

مایکروسافت امروز ویندوز ۱۰ خودش رو به صورت رسمی به مشتریانش ارائه کرد...

ویندوز 10 ارائه شد
‫۹ سال و ۳ ماه قبل، چهارشنبه ۷ مرداد ۱۳۹۴، ساعت ۱۸:۱۳
سلمان ک سلمان ک
نظرات مطالب
Url Routing در ASP.Net WebForms
سلام
ممنون از مطلب کاملتون ، من کامل انجام دادم فقط یه مشکل دارم . وقتی تو صفحه نمایش خبر هستم رو هر لینکی کلیک میکنم باز تو همون صفحه میمونه و فقط اسم لینک به انتهای url اضافه میشه
 این صفحه خبره  /NewsPage/6/news1/   بعد که میخوام برم صفحه اصلی اینجوری میشه /NewsPage/6/Home/   
ممنون میشم راهنمایی کنین
‫۹ سال و ۲ ماه قبل، دوشنبه ۲ شهریور ۱۳۹۴، ساعت ۰۹:۱۳
علی مدرسی علی مدرسی
نظرات مطالب
بهبود شمسی ساز تاریخ اکسپلورر ویندوز جهت سازگاری با ویندوزهای سری 8
من کلی تلاش کردم که اون قسمت انتخاب ماه رو هم تو ویندوز فارسی کنم
اما نتونستم هوک مرتبط را پیدا کنم
ولی یه راه دیگه ای هست که هنگامی که برنامه تقویم ویندوز باز میشه(زمانی که رو ساعت کلیک می‌کنی) بهت خبر میده و میشه به جای صفحه تقویم برنامه خودمون را آورد بالا

می خواستم اگر کسی چیزی میدونه راهنمایی کنه که یه تقویم اپن سورس درست حسابی و کامل درست کنیم :)
‫۹ سال و ۱۲ ماه قبل، دوشنبه ۱۲ آبان ۱۳۹۳، ساعت ۰۴:۳۷
سیروان عفیفی سیروان عفیفی
نظرات مطالب
استفاده از Kendo UI TreeView به همراه یک منبع داده راه دور
ممنون، از روشی که لینک دادید استفاده کردم و مشکلم حل شد، منتها روش فوق یک اشکال دارد که در واقع توسط KendoTree پشتیبانی نمی‌شود. اینکه آیتم اولین عنصر که به عنوان ریشه اصلی است دارای چک‌باکس نیست، مثلاً در حالت زیر:
<ul id="treeview" data-role="treeview">
      <li data-expanded="true">
        <span class="k-sprite folder"></span>
        My Web Site
        <ul>
          <li data-expanded="true">
            <span class="k-sprite folder"></span>images
            <ul>
              <li><span class="k-sprite image"></span>logo.png</li>
              <li><span class="k-sprite image"></span>body-back.png</li>
              <li><span class="k-sprite image"></span>my-photo.jpg</li> 
            </ul>
          </li>
          <li data-expanded="true">
            <span class="k-sprite folder"></span>resources
            <ul>
              <li data-expanded="true">
                <span class="k-sprite folder"></span>pdf
                <ul>
                  <li><span class="k-sprite pdf"></span>brochure.pdf</li>
                  <li><span class="k-sprite pdf"></span>prices.pdf</li>
                </ul>
              </li>
              <li><span class="k-sprite folder"></span>zip</li>
            </ul>
          </li>
        </ul>
      </li>
    </ul>
یعنی عنصر ریشه که در اینجا My Web Site است چک‌باکس ندارد. این موضوع شاید در نگاه اول اهمیت چندانی نداشته باشد، اما من در پروژه‌ی خودم توسط Reflection لیستی از کنترلرها به همراه اکشن متدها را برای مدیر سایت به صورت درختی نمایش خواهم داد تا اعمال سطح دسترسی هر کاربر را به صفحات سایت تعیین کند، در این صورت اولین عنصر ریشه باید دسترسی کامل باشد.
در هر صورت ممنون از پاسخگویی‌تون.
‫۹ سال و ۵ ماه قبل، دوشنبه ۴ خرداد ۱۳۹۴، ساعت ۲۰:۲۴