惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
V
Vulnerabilities – Threatpost
L
LINUX DO - 热门话题
H
Hacker News: Front Page
Hacker News - Newest:
Hacker News - Newest: "LLM"
L
Lohrmann on Cybersecurity
Cisco Talos Blog
Cisco Talos Blog
O
OpenAI News
S
Securelist
Security Latest
Security Latest
T
Threat Research - Cisco Blogs
H
Heimdal Security Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Recorded Future
Recorded Future
Microsoft Azure Blog
Microsoft Azure Blog
MyScale Blog
MyScale Blog
Webroot Blog
Webroot Blog
The Hacker News
The Hacker News
Google Online Security Blog
Google Online Security Blog
Latest news
Latest news
N
Netflix TechBlog - Medium
N
News and Events Feed by Topic
D
Docker
D
DataBreaches.Net
A
About on SuperTechFans
T
Tor Project blog
V
V2EX
G
Google Developers Blog
博客园 - Franky
N
News | PayPal Newsroom
T
The Blog of Author Tim Ferriss
I
InfoQ
H
Help Net Security
V2EX - 技术
V2EX - 技术
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
S
Security Affairs
SecWiki News
SecWiki News
The Register - Security
The Register - Security
人人都是产品经理
人人都是产品经理
NISL@THU
NISL@THU
小众软件
小众软件
B
Blog
T
Threatpost
P
Palo Alto Networks Blog
博客园 - 【当耐特】
L
LangChain Blog
AWS News Blog
AWS News Blog
月光博客
月光博客
宝玉的分享
宝玉的分享

博客园_首页

Linux实操--组管理、权限管理和定时任务 Java + EasyExcel 实现单个接口导出多个Excel Mem0 源码解析系列(二):提示词工程的深度剖析 Openclaw TaskFlow究竟是什么?和普通Skill技能有什么区别 博文阅读密码验证 - 博客园 嘉立创开源:应该是全网MicroPython教程最多的开发板 Hermes Agent 集成实践:从协议到生产 2026年AI编程工具横评:Cursor、Codex、Claude Code、Zed、Windsurf Java程序员必看的RAG入门教程 2026 AI效率神器:Superpowers + Claude Code 保姆级教程 本地大模型部署全攻略:从 0 到 1 玩转 Ollama 【从0到1构建一个ClaudeAgent】内存管理-上下文压缩 .NET 高级开发 | 设计、实现一个事件总线框架 电子小白入门之NE555 3. WorkBuddy:隐藏玩法,一键召唤专家,让 AI 以"专家身份"给你干活 和AI一起搞事情#3:Claude Teammate 游戏开发翻车实录 【OpenClaw】通过 Nanobot 源码学习架构---(7)Memory C# .NET 周刊|2026年3月3期 我在 Debian 11 上把 K8s 单机搭起来了,过程没你想的那么顺(/opt 目录版) 深度学习进阶(七)Data-efficient Image Transformer CLI+Skill搭建浏览器AI自动化框架,告别一切重复枯燥任务 告别Token账单无底洞:OpenClaw本地部署,重塑企业数据主权的唯一解 FastAPI+Vue:文件分片上传+秒传+断点续传,这坑我帮你踩平了! SBTI 爆火后,我做了个程序员版的 CBTI。。已开源 + 附开发过程 多模态检索开始进入工程期:用 Sentence Transformers 搭建可落地的 Multimodal RAG 100多行代码实现一个最简单的Agent(用ReAct) Claude Code 通关手册(八):推荐 5 个 Hooks,代码质量提升 3 倍 老板:“有人截图了!”。安全部门:“收到,马上查暗水印!” - why技术 技术之外,皆是人间 C#/.NET/.NET Core技术前沿周刊 | 第 69 期(2026年4.01-4.12) Snack JSONPath 项目架构分析 Claude Code Buddy 小析:一个非核心功能,如何体现产品的细节完成度 AI新时代下的图床管理方案-Cloudflare图床+MCP+Skills方案指南 化繁为简:顺丰速运App如何通过 HarmonyOS SDK实现专业级空间测量 从零实现富文本编辑器#13-React非编辑节点的内容渲染 AI开发-python-langchain框架(3-23-OpenAI Functions风格Tool Calling智能助手) .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut PbootCMS 网站内容数量多导致访问慢?这些实用优化方案帮你提速! - 家兴网络技术工作室 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 网站漏洞怎么发现并修复?一篇实用指南(附完整流程) - 家兴网络技术工作室 开了 TUN 模式还是直连?90% 的人都踩过这个坑 Github日报|2026年04月12日 - AI一族 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术 Etsy 把 1000 个 MySQL 分片迁进 Vitess:425TB 数据背后的真正问题不是性能,而是运维规模 MicroPython LVGL基础知识和概念:底层渲染与性能优化 - FreakStudio 数据库草图算法 Python 潮流周刊#146:CPython 引入 Rust 的进展 - 豌豆花下猫 最小生成树 - mofei1116 红日靶场七:从外网入口、容器逃逸到 AD 接管的完整利用链复盘 - YouDiscovered1t 分享四款开源且实用的 Kafka 管理工具 - 追逐时光者 vLLM 权重加载机制全解析:从挑战到理想架构 LCT 学习笔记 - ACehomoxue Avalonia UI 12.0.0 正式发布:架构演进和性能飞跃 - 张善友 当 AI Agent 把调用链拉长,延迟开始成为一门生意 conhost.exe 无法显示 U+2717 - 145a 太秀了,我把自己蒸馏成了 Skill!已开源 - 程序员鱼皮 ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑 基于 Ghostty 带有分割标签页和为 Claude 编程设计的通知终端 - BugShare AI 焊死入口:教育的“操作系统级”重塑 - 郝hai 初级Java开发工程师使用sql脚本编写代码的过程是简单而且不糊涂 - CoderOilStation Claude Code通关手册(六):MCP协议完全指南 - 暮色之狐 边框灯光环绕动画特效实现指南 - Newbe36524 开源:子木蒸馏版的 SEO 审计工具 seo-audit-skill v1.0 我所理解的Python元模型 【从0到1构建一个ClaudeAgent】规划与协调-TodoWrite - 程序员Seven Claude 和 Codex 在审计 Skill 上性能差异探究 - ACai_sec AScript如何实现中文脚本引擎 - rockey627 【渗透测试】HTB Season10 Garfield 全过程wp - dynasty_chenzi Android 开发者为什么必须掌握 AI 能力?端侧视角下的技术变革 树状数组正确性证明 - AC-wyr 你的 AI 焦虑,可能比 AI 本身更危险——ATM 机没有消灭银行柜员,但恐慌消灭了你的判断力 - 我没有三颗心脏 一个拉胯的分库分表方案有多绝望?整个部门都在救火! - 冰河团队 动态规划入门必学之走方格问题 - Ofnoname PostgREST 与 PostgreSQL 角色权限配置全解析(生产级实践) - SheepDog1998 使用 UEFI 图形输出协议 GOP 在屏幕上显示图像的方法 - 阿源- Claude Code通关手册(五):组建你的AI专家团队,子代理系统 - 暮色之狐 一个程序员到架构师的催婚路之感悟(整整10年后的催婚相亲感悟) - MisterLip 用 Agent Skill 自动生成工作周报 - 赵康
.NET 8 Web开发入门(五):构建盾牌——数据验证与全局异常处理
码农刚子 · 2026-05-18 · via 博客园_首页

一、前言:别让“脏数据”搞垮你的系统

上一篇中,我们实现了数据的增删改查。但现实是残酷的:前端可能会传给你一个空的标题、负数的ID,甚至是一段恶意脚本。如果我们不做防御,这些“脏数据”会像病毒一样侵入数据库。

作为一个有追求的开发者,不仅要“能写”,还要“能防”。这一篇,我们来打造系统的“安全盾牌”。

二、第一道防线:模型绑定与基础验证

ASP.NET Core 自带了基础的验证机制。当请求体(Body)中的JSON数据被反序列化为对象时,框架会自动检查数据注解。

2.1 使用 Data Annotations (数据注解)

这是最简单的方式,通过给属性加“标签”来定义规则。

修改 Models/TodoItem.cs

using System.ComponentModel.DataAnnotations;

public class TodoItem
{
    public int Id { get; set; }

    [Required(ErrorMessage = "标题不能为空")] // 必填
    [StringLength(100, ErrorMessage = "标题长度不能超过100")] // 最大长度
    public string? Title { get; set; }

    public bool IsDone { get; set; }
    
    public DateTime CreatedAt { get; set; } = DateTime.Now;
}

2.2 在API中检查验证状态

在Minimal API中,我们需要手动检查 ValidationContext,这比传统Controller稍微麻烦一点,但更灵活。

using System.ComponentModel.DataAnnotations;

app.MapPost("/todos/basic-validate", (TodoItem todo) =>
{
    // 手动创建验证上下文
    var validationContext = new ValidationContext(todo);
    var validationResults = new List<ValidationResult>();
    
    // 执行验证
    bool isValid = Validator.TryValidateObject(todo, validationContext, validationResults, true);

    if (!isValid)
    {
        // 如果验证失败,返回400错误和具体错误信息
        return Results.BadRequest(validationResults.Select(r => r.ErrorMessage));
    }

    // 验证通过,执行业务逻辑...
    return Results.Ok("数据合法");
});

刚子小贴士: 这种方式虽然简单,但缺点很明显:验证规则写在了实体类里,导致类变得臃肿。而且复杂的逻辑(比如“标题不能包含敏感词”)很难用标签实现。在企业级项目中,我们更推荐下面要讲的 FluentValidation

三、进阶利器:FluentValidation

FluentValidation 是一个第三方库,它允许你用流式代码定义验证规则,将验证逻辑与实体类彻底分离。

3.1 安装与基础配置

执行命令安装包:

dotnet add package FluentValidation.AspNetCore

3.2 定义验证器

创建 Validators/TodoItemValidator.cs

using FluentValidation;
using MyTodoApp.Models;

public class TodoItemValidator : AbstractValidator<TodoItem>
{
    public TodoItemValidator()
    {
        // 规则1:标题不为空
        RuleFor(x => x.Title)
            .NotEmpty().WithMessage("任务标题必须填写")
            .MaximumLength(50).WithMessage("标题太长了,别超过50个字");

        // 规则2:自定义逻辑验证
        RuleFor(x => x.Title)
            .Must(title => !title.Contains("傻子")).WithMessage("标题包含敏感词,请文明用语");
    }
}

3.3 注册与自动验证

Program.cs 中注册服务:

builder.Services.AddFluentValidationAutoValidation(); // 开启自动验证
builder.Services.AddValidatorsFromAssemblyContaining<Program>(); // 扫描当前程序集的所有验证器

改造API接口: 现在,当请求进入时,框架会自动验证。如果失败,直接返回400。我们可以这样写:

app.MapPost("/todos", (TodoItem todo, AppDbContext db) =>
{
    // 如果走到这里,说明验证已经通过了
    db.Todos.Add(todo);
    db.SaveChanges();
    return Results.Created($"/todos/{todo.Id}", todo);
});

刚子敲黑板: FluentValidation 最强大的地方在于它的可复用性可测试性。你可以单独对这个 Validator 类写单元测试,确保验证逻辑的正确性,而不用担心业务逻辑的干扰。

四、第二道防线:全局异常处理

只有验证是不够的。代码运行时总会遇到意想不到的错误:数据库连接断了、文件找不到了、甚至是你写了 int.Parse("abc")

如果不管这些异常,用户会看到浏览器返回一个黄色的错误页面(开发环境)或者裸露的堆栈信息(生产环境),这非常不专业,甚至可能泄露敏感代码路径。

4.1 构建统一响应格式

我们需要定义一个标准的错误返回格式,无论哪里出错,前端收到的结构都是一样的。

// 定义错误响应模型
public class ErrorResponse
{
    public int StatusCode { get; set; }
    public string Message { get; set; }
    public string? Detail { get; set; } // 仅开发环境显示
}

4.2 编写异常处理中间件

我们在管道的最前端放置一个“捕鱼网”,捕获所有后续抛出的异常。

修改 Program.cs

var app = builder.Build();

// --- 全局异常处理中间件 ---
app.UseExceptionHandler(errorApp =>
{
    errorApp.Run(async context =>
    {
        // 1. 获取异常详情
        var exceptionHandlerFeature = context.Features.Get<IExceptionHandlerFeature>();
        var exception = exceptionHandlerFeature?.Error;

        // 2. 设置响应状态码和内容类型
        context.Response.StatusCode = 500;
        context.Response.ContentType = "application/json";

        // 3. 构造返回对象
        var response = new ErrorResponse
        {
            StatusCode = 500,
            Message = "服务器内部错误,请稍后重试", // 给用户看的友好信息
            Detail = app.Environment.IsDevelopment() ? exception?.Message : null // 开发环境下显示具体错误
        };

        // 4. 序列化并返回
        await context.Response.WriteAsJsonAsync(response);
    });
});

// ... 其他中间件 ...

4.3 实战模拟异常

我们故意写一个会报错的接口:

app.MapGet("/error-test", () =>
{
    throw new Exception("哎呀,这里发生了一个模拟的严重错误!");
    return "这里永远走不到";
});

访问这个接口,在生产环境下,用户会看到:

{
  "statusCode": 500,
  "message": "服务器内部错误,请稍后重试",
  "detail": null
}

而在开发环境下,你作为开发者可以看到 detail 里的具体错误信息,方便调试。

全局异常处理中间件捕获异常后返回的标准JSON错误响应截图

五、整合:验证 + 异常处理 = 稳健

现在我们的系统已经具备了双重防御:

  1. 外层防御:FluentValidation 在数据绑定时拦截非法数据,返回 400 Bad Request。
  2. 内层兜底:Exception Handler 捕获所有未处理的运行时异常,返回 500 Internal Server Error。

刚子敲黑板: 在真实项目中,还有一种常见的做法是使用 ProblemDetails 类。这是微软定义的一种标准错误响应格式(RFC 7807)。在 Minimal API 中,你可以直接使用 Results.Problem("出错了"),它会自动生成符合规范的响应,非常适合对接第三方系统。

六、总结与下篇预告

在这篇文章中,我们完成了系统的防御体系建设。

  • 学会了使用 FluentValidation 替代传统的 Data Annotations,实现验证逻辑的解耦。
  • 学会了使用 Exception Handler Middleware 统一处理异常,提升用户体验。

现在的应用,不仅跑得快,而且“身体倍儿棒,吃嘛嘛香”。

下一篇预告

后端接口写好了,数据也能存取了。但是,谁来调用这些接口?是手机App?是网页?还是另一个微服务? 在下一篇教程中,我们将开启 Blazor 之旅。Blazor 是 .NET 生态的黑科技,它允许你只用 C# 语言(无需深入学习复杂的 React/Vue 或 JavaScript)就能构建现代的前端交互页面。后端工程师也能写前端,全栈开发的大门即将打开。

准备好迎接全栈挑战了吗?

原文链接:.NET 8 Web开发入门(五):构建盾牌——数据验证与全局异常处理 - 码农刚子的开发笔记