验证是ASP.NET MVC开发中一个非常重要的环节,包括客户端和服务端验证。幸好,MVC提供了非常简便的数据注解(Data Annotations)来帮助我们进行这项工作。
1.验证性的数据注解
MVC本身内置了一些常用的数据注解,像是Required,DisplayName等等,我会在下面一一讲解。
最常用的就是Required,像是下面这样:
使用Required可以指定错误消息:
[Required(ErrorMessage = "First Name is required")] public string FirstName { get; set; }
使用Required是不够的,我们还需要规定用户的输入限制,像是字符串,就常有长度的限制,这时我们就可以利用StringLength。像是这样:
[Required(ErrorMessage = "First Name is required")] [StringLength(160)] public string FirstName{ get; set;}
它规定了我们输入的最大长度是160个字符。如果想要规定最小长度,我们可以这样写:
[Required(ErrorMessage = "First Name is required")] [StringLength(160, MinimumLength = 3)] public string FirstName { get; set; }
实际的效果如图:
字符串的要求是长度,而数字的要求则是数据范围范围:
[Range(0.01, 100.0, ErrorMessage = "Price must be between 0.01 and 100.0")] public decimal Price { get; set; }
Range()是一个双闭区间,就是说,包含0.01和100.0。
最后一个要讲的,就是RegularExpression。
我们可以这样使用:
[Required(ErrorMessage = "Email is required")] [RegularExpression(@"[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+[A-Za-z]{2,4}", ErrorMessage = "Email is not valid")] [DataType(DataType.EmailAddress)] public string Email { get; set; }
通过上面,我们可以知道,所有用于验证用的数据注解都可以自定义自己的错误消息。
2.显示性的数据注解
我们都注意到,变量FirstName在页面上的实际显示是:First Name。这样做才是符合实际需要的,要想这样做,我们就必须利用DisplayName:
[Required(ErrorMessage = "First Name is required")] [DisplayName("First Name")] [StringLength(160, MinimumLength = 3)] public string FirstName { get; set; }
同样是为属性定义说明,还有另一种注解:Dispaly,它的作用并不仅仅是指定显示的内容,甚至能够指定显示的顺序,像是这样:
[Required(ErrorMessage = "First Name is required")] [Display(Name = "First Name", order = 15000)] [StringLength(160)] public string FirstName { get; set; }
order的默认参数是10000,如果其他变量并没有设置order值,FirstName就排在其他变量后面。但实际上是不用这么麻烦的,如果不指定该值,就会按照变量声明的顺序排列。
Display在用于属性的显示名称上,具有更高的优先级。
DisplayName专门用于定义属性的显示名称,但是Display并不仅仅是如此。它的内容非常丰富,有些在这里不好讲,而且本人是MVC新手,所以还请感兴趣的同学自己查一下相关资料。
如果对数据库有所了解的话,就会知道,数据库需要key值用于搜索相应的元组。MVC经常与数据库打交道,所以我们的模型中经常需要定义一个或几个名称中包含有Id的作为key的属性,像是OrderId之类的,但是我们在显示的时候又不想将这些属性显示出来,但正如我上面所讲的,默认是会将该模型的所有属性都显示出来。那该怎么办呢?就是对显示隐藏,我们可以使用HiddenInput。
像是这样:
public class Person{ [HiddenInput] public string Name { get; set; } [HiddenInput(DisplayValue = false)] public string Sex { get; set; } public int Age { get; set; } }
然后是控制器:
public ActionResult Index(){ Person person = new Person() { Name = "Jos", Sex = "man", Age = 18 }; return View(person); }
实际的效果如图:
我们可以看到,"Sex"完全被隐藏起来了!
使用了HiddenInput,默认情况下属性会以只读形式显示出来,像是上面的Name,要想完全隐藏,就得将DisplayValue设置为false。
我们可以来看看使用了HiddenInput的HTML:
<div class = "editor-label"><label for = "Name">Name</label></div> <div class = "editor-label">Jos<input id = "Name" name = "Name" type = "hidden" value = "Jos"/></div> <input id = "Sex" name = "Sex" type = "hidden" value = "man"/> <div class = "editor-label"><label for = "Age">Age</label></div> <div class = "editor-field"? <input class = "text-box single-line" id = "Age" name = "Age" type = "text" value = "18"/> <div>
这些只要了解就好,MVC会自动帮我们处理。
我们有时候会想,这样做是好的吗?毕竟,MVC会帮我们自动生成HTML文件,包括一些本该是由程序员自己设置的标记。但必须承认,这样让程序员从千篇一律的编码中解放出来,让我们能够将关注点放在其他更值得关注的方面上,而且,我们程序员依然对生成的HTML文件具有很大的控制权。
特别强调一下,HiddenInput的命名空间是System.Web.Mvc。
同样是隐藏属性在HTML上的显示,我们还可以使用ScaffoldColumn特性。
使用ScaffoldColumn并不是为属性设置type = "hidden",它是直接将该属性从基架中删除。我们知道,MVC可以通过预定义模板来自动生成HTML,这种方式就是基架(Scaffolding)。ScaffoldColumn表示存在于基架中并最终呈现在HTML中的字典。
像是这样:
[ScaffoldColumn(false)] public int OrderId { get; set; }
即使从基架中将该属性删除,模型绑定器仍然会试图为该属性赋值,这样就为典型的攻击“重复提交”提供了机会。黑客们可以试图向我们的网页中发送"OrderId = 100"这样的字段,而我们的模型绑定器会为该属性赋值并且有可能赋为黑客提供的值。要想防止这种攻击,我们可以利用Bind特性。
Bind特性可以选择模型绑定器要绑定的值。像是这样:
[Bind(Include = "Name, Comment")] public class Review{ public int ReviewId{ get; set;} public int ProductId{ get; set;} publc string Name{ get; set;} public string Comment{ get; set;} }
这样模型绑定器就只绑定Name和Comment属性。
当然,我们也可以选择不绑定的属性:
[Bind(Exclude = "OrderId")] public partial class Order { [ScaffoldColumn(false)] public int OrderId { get; set; } [ScaffoldColumn(false)] public string UserName { get; set; } }
这样,上面所讲的“重复提交”攻击就无法发挥作用了。但是必须注意,使用"Include"的白名单比起使用"Exclude"的黑名单更加安全,因为我们永远也不知道黑客会用怎样的方式来攻击我们,但确定的是,我们可以知道哪些被绑定的属性是不会造成太大的危害的。
使用白名单还是黑名单还是得看具体情况,毕竟有时候我们需要绑定的属性非常多,如果采用白名单的方式,光是数据注解这里可能就要超过了我们该模型类的代码总量了。
Bind既可以用于模型,也可以用于控制器操作的参数,但更多时候还是用在模型上。
提到模型绑定器,这里就必须得说一下属性的更新问题。模型绑定器会更新被绑定的属性的值,但有些值我们可能希望它永远都不要被更新,那么我们就可以使用ReadOnly特性。
像是这样:
[ReadOnly(true)] public decimal Total{ get; set;}
模型绑定器就不会更新它的值,虽然实际运行的时候,我们的确可以在文本框里修改它的值,但是该值并不会被用来更新该属性的值。
ReadOnly的命名空间是在using System.ComponentModel。
既然提到可读,那么一定存在可写。是的,在System.ComponentModel.DataAnnotations中就有一个Editable。
它的使用方式和ReadOnly完全一样,但我们会很好奇:如果同时将这两个注解用在同一个属性上,会怎么样呢?事实上,Editable拥有更高的优先级。
接下来讲到的数据注解就真的非常重要。所有显示性的数据注解,其实都是提供给HTML 辅助方法和ASP.NET MVC运行时的其他组件使用,这些都是靠模型元数据提供器来负责收集。所以,就有一种数据注解能够为运行时提供关于属性的特定用途。这就是DataType。
我们会在用户的登陆界面中要求用户输入登陆密码,但是又必须保证,这些密码不会显示出来以免被别人看到,这时,DataType就发挥作用了:
[Required] [DataType(DataType.Password)] [DisplayName("Password")] public string Password { get; set; }
从上面可以看出,DataType所谓的数据类型,并不是我们常说的int,float等,事实上,DataType本身也有一个可支持的数据类型枚举:
public enum DataType{ Custom, DateTime, Date, Time, Duration,
PhoneNumber, Currency, Text, Html, MultilineText,
EmailAddress, Password, Url, ImageUrl, CreditCard,
PostalCode, Upload }
DataType实际上是一个验证特性,它继承自ValidationAttribute,但我之所以放在这里讲,是因为所谓的"显示"性,是指它的作用效果,像DataType的作用效果就是为它内置的数据类型提供不同的显示效果。
当然,我们还可以自定义自己的数据类型,不过这种情况下我们就必须自定义该数据类型的DisplayFormat。这些都在DataType的源码中:
[AttributeUsage(AttributeTargets.Parameter | AttributeTargets.Field | AttributeTargets.Property | AttributeTargets.Method, AllowMultiple=false)] public class DataTypeAttribute : ValidationAttribute{ public DataTypeAttribute(DataType dataType); public DataTypeAttribute(string customDataType); public virtual string GetDataTypeName(); public override bool IsValid(object value); public string CustomDataType { get; } public DataType DataType { get; } public DisplayFormatAttribute DisplayFormat { get; } }
我们有时候想要对输出进行格式化设置,这时我们就可以利用DisplayFormat。
像是这样:
[Required(ErrorMessage = "Price is required")] [DisplayFormat(ApplyFormatInEditMode = true, DataFormatString = "{0:c}")] [Range(0.01, 100.0, ErrorMessage = "Price must be between 0.01 and 100.0")] public decimal Price { get; set; }
就会有这样的效果:
话说,中文版的VS2012莫非真的是入乡随俗,我看到外国的教程都是美元标记,但这里却是RMB标记!但这点确实真的很重要,毕竟,在中国发布的网站价格标注的要是美元的话,那还真的是没有多少人会买了。
这里必须注意,ApplyFormatInEditMode的默认值是false,之所以这样,是因为我们模型绑定器无法解析格式化的值。
查看DisplayFormat的源码,我们就可以发现,它还有两个个布尔类型的属性:HtmlEncode和ConvertEmptyStringToNull,前者表示是否需要对目标内容进行HTML编码,默认下是true(这样是为了安全性的考虑),后者表示是否将传入的空字符串转换成Null。
DisplayFormat还有一个string属性:NullDisplayText,它表示针对空值(Null)对象的显示文本。
同样的道理,因为DataType也对应着一个DisplayFormatAttribute,所以当这两个特性同时应用在相同的元素上,后者具有更高级的优先级。
最后一个要讲的数据注解,因为不知道要放在哪里,但提到模板的话,就还是放在这里好了。它就是UIHintAttribute。
我们知道,HTML辅助方法会帮我们选择基于Model的模板方法。所谓的模板方法,指的是我们在通过调用这些方法来将Model的数据显示在View中时,采用默认或者指定的模板来决定最终呈现在浏览器中的HTML。这点在我们使用MVC的时候就已经察觉了:模板名称对应具体的Model元数据。所以,通过元数据,我们可以自定义要选择的模板。像是这样:
public class Person{ [UIHint("Template A")] public string Name{ get; set;} [UIHint("Template B", "Mvc")] [UIHint("Template A")]
public string Sex{ get; set;} }
它有两个构造函数:
public UIHintAttribute(string uiHint); public UIHintAttribute(string uiHint, string presentationLayer);
对于最后一个属性Sex,最终采用的是Template B,因为它的presentationLayer的值为Mvc。
本人完全是MVC新手,所讲的均是自己的理解,如果有说得不对的地方,还请各位大神指出。