作者:Tony Qu

说到ISAPI很多人会觉得很陌生,因为如果你是做ASP.NET开发的话,ISAPI的方式已经过时,取而代之的是HttpHandler和HttpModule,说到这两个东西很多人估计明白了,ISAPI可以说是早期实现请求拦截和处理的唯一途径,只是随着ASP.NET的流行,渐渐淡出了开发人员的视野。

 

此文的开发场景是这样的,我们公司使用古老的ASP语言,但是ASP的Response.Cookies属性中没有HttpOnly(但.Net的Cookie对象是有HttpOnly属性的),有帖子说可以利用Path属性来设置HttpOnly,可以这么做是因为我们在页面中设置cookie值的动作都会被转换成Set-Cookie头,如下

Set-Cookie: user=t=bfabf0b1c1133a822; path=/
但如果要让cookie变成HttpOnly,就需要用如下格式:
Set-Cookie: user=t=bfabf0b1c1133a822; path=/;HttpOnly

理论上讲设置Path是完全可行的,因为说白了就是在原来Path的基础上增加;HttpOnly,

但经试验表明这行不通,比如我用下面的代码

Response.Cookies(“user”).Path+=”;HttpOnly”;

得到的结果却是

Set-Cookie: user=t=bfabf0b1c1133a822; path=/3B%;HttpOnly

这显然是不行的,所以我们不得不考虑用ISAPI来实现。

 

ISAPI基础

首先,请不要把ISAPI Extension和ISAPI Filter混为一谈,这两个东西虽然只差一个字,但却完全是两样东西,所提供的接口是完全不一样的。ISAPI Extension是一个类似页面的dll,你可以对它做post或get提交,如http://localhost/abc.dll?a=1,从严格意义上讲它没有拦截的功能,和cgi差不多。而ISAPI Filter则是具有过滤功能的,你可以在IIS网站的属性中添加需要加载的ISAPI Filter,例如asp.net的实现也使用了一个ISAPI Filter,叫做aspnet_filter.dll。

ISAPI Filter说到底就是一个DLL,它有两个主要的接口:GetFilterVersion和HttpFilterProc,如下所示:

BOOL WINAPI __stdcall GetFilterVersion(HTTP_FILTER_VERSION *pVer) 
{ 
 /* Specify the types and order of notification */ 
 
 pVer->dwFlags = (SF_NOTIFY_PREPROC_HEADERS | SF_NOTIFY_AUTHENTICATION | 
 SF_NOTIFY_URL_MAP | SF_NOTIFY_SEND_RAW_DATA | SF_NOTIFY_LOG | SF_NOTIFY_END_OF_NET_SESSION ); 
 
 pVer->dwFilterVersion = HTTP_FILTER_REVISION; 
 
 strcpy(pVer->lpszFilterDesc, "Upper case conversion filter, Version 1.0"); 
 
 CFile myFile("c:\\mylist.html", CFile::modeCreate | CFile::modeWrite);
 myFile.SeekToEnd();
 char myText[40];
 strcpy(myText,"GetFilterVersion 

"
);
 myFile.Write(myText,strlen(myText));
 myFile.Close();
 
 return TRUE; 
}

GetFilterVersion不仅仅是用来获得Filter版本这么简单,它可以用来过滤需要触发的事件,这些事件的详细信息你可以参考http://msdn.microsoft.com/en-us/library/ms825957.aspx。请注意,这里做的是或操作,而不是与操作,学过数理逻辑的应该明白这个是干嘛用的,就是值的叠加,说的再直接点,EventA|EventB就是我既要Event A也要Event B。

DWORD WINAPI __stdcall HttpFilterProc(HTTP_FILTER_CONTEXT *pfc, DWORD NotificationType, VOID *pvData) 
{ 
 CFile myFile("c:\\mylist.html", CFile::modeWrite);
 myFile.SeekToEnd();
 
 switch (NotificationType) { 
 
 case SF_NOTIFY_ACCESS_DENIED : 
 
 myFile.Write("SF_NOTIFY_ACCESS_DENIED
"
,strlen("SF_NOTIFY_ACCESS_DENIED
"
));
 break;
 
 case SF_NOTIFY_AUTH_COMPLETE :
 
 myFile.Write("SF_NOTIFY_AUTH_COMPLETE
"
,strlen("SF_NOTIFY_AUTH_COMPLETE
"
));
 break;
 
 case SF_NOTIFY_AUTHENTICATION :
 
 myFile.Write("SF_NOTIFY_AUTHENTICATION
"
,strlen("SF_NOTIFY_AUTHENTICATION
"
));
 break;
 
 case SF_NOTIFY_END_OF_NET_SESSION : 
 
 myFile.Write("SF_NOTIFY_END_OF_NET_SESSION
"
,strlen("SF_NOTIFY_END_OF_NET_SESSION
"
));
 break;
 
 case SF_NOTIFY_END_OF_REQUEST : 
 
 myFile.Write("SF_NOTIFY_END_OF_REQUEST
"
,strlen("SF_NOTIFY_END_OF_REQUEST
"
));
 break;
 
 case SF_NOTIFY_LOG : 
 
 myFile.Write("SF_NOTIFY_LOG
"
,strlen("SF_NOTIFY_LOG
"
));
 break;
 
 case SF_NOTIFY_PREPROC_HEADERS : 
 
 myFile.Write("SF_NOTIFY_PREPROC_HEADERS
"
,strlen("SF_NOTIFY_PREPROC_HEADERS
"
));
 break;
 
 case SF_NOTIFY_READ_RAW_DATA : 
 
 myFile.Write("SF_NOTIFY_READ_RAW_DATA
"
,strlen("SF_NOTIFY_READ_RAW_DATA
"
));
 break;
 
 case SF_NOTIFY_SEND_RAW_DATA :
 
 myFile.Write("SF_NOTIFY_SEND_RAW_DATA
"
,strlen("SF_NOTIFY_SEND_RAW_DATA
"
));
 break;
 
 case SF_NOTIFY_SEND_RESPONSE : 
 
 myFile.Write("SF_NOTIFY_SEND_RESPONSE
"
,strlen("SF_NOTIFY_SEND_RESPONSE
"
));
 break;
 
 case SF_NOTIFY_URL_MAP : 
 
 myFile.Write("SF_NOTIFY_URL_MAP
"
,strlen("SF_NOTIFY_URL_MAP
"
));
 break;
 
 case SF_NOTIFY_SECURE_PORT : 
 
 myFile.Write("SF_NOTIFY_SECURE_PORT
"
,strlen("SF_NOTIFY_SECURE_PORT
"
));
 break;
 
 case SF_NOTIFY_NONSECURE_PORT :
 
 myFile.Write("SF_NOTIFY_NONSECURE_PORT
"
,strlen("SF_NOTIFY_NONSECURE_PORT
"
));
 break;
 
 default : 
 break; 
 } 
 
 
 myFile.Close();
 
 return SF_STATUS_REQ_NEXT_NOTIFICATION; 
}

HttpFilterProc是主要入口,相当于Console程序中的main。上面这段代码是在这些事件触发时写入一个日志,这样便于调试。

说到这里我们来了解下通常开发一个ISAPI Filter的流程。

a. 获得一个现有的ISAPI Filter项目,当做模板,这个网上很多,google一下就有了。

b. 修改GetFilterVersion中的dwFlags的值来决定需要哪些事件

c. 修改HttpFilterProc中的case分支,删除不需要的事件

d. 在需要处理的事件中写代码。

 

有一件事必须提醒大家,在写ISAPI时,你千万不要忘了把这两个接口暴露出去,也就是定义DLL的EXPORTS,如下:

LIBRARY "isapi_sample"
EXPORTS
HttpFilterProc
GetFilterVersion

 

事件的执行顺序

在ASP.NET中我们有Page Life Cycle,ISAPI Filter也是如此,这些时间的执行顺序可以在 http://msdn.microsoft.com/en-us/library/ms524855(VS.90).aspx 上找到,下面的事件就是按执行顺序排列的。

SF_NOTIFY_READ_RAW_DATA

SF_NOTIFY_PREPROC_HEADERS

SF_NOTIFY_URL_MAP 

SF_NOTIFY_AUTHENTICATION

SF_NOTIFY_AUTH_COMPLETE

SF_NOTIFY_SEND_RESPONSE

SF_NOTIFY_SEND_RAW_DATA

SF_NOTIFY_END_OF_REQUEST

SF_NOTIFY_LOG

SF_NOTIFY_END_OF_NET_SESSION

通过分析,我们知道要想获得Set-Cookie header必须在ASP把页面处理完之后,因为ASP页面代码有可能会设置Cookie值,所以SF_NOTIFY_PREPROC_HEADERS事件并不合适,因为它是在收到请求后,处理页面前触发的,我们需要的是在页面处理完,发送前触发的事件,所以SF_NOTIFY_SEND_RESPONSE最合适。在下一节我们将讲解如何在该事件中添加处理代码。

 

如何遍历Set-Cookie

HttpFilterProc函数的第三个参数VOID *pvData是对应事件的数据,为了获得header里面的数据,我们会把它转换成PHTTP_FILTER_PREPROC_HEADERS,因为我们先要把Set-cookie的数据读出来,然后才能处理。

代码如下:

 1: case SF_NOTIFY_SEND_RESPONSE : 
 2: pPH = (PHTTP_FILTER_PREPROC_HEADERS)pvData;
 3: pPH->GetHeader(pfc, "Set-Cookie:", szBuffer, &dwSize);
 4:  
 5: cookieNum=sizeof(strtok(szBuffer,","));
 6: if(cookieNum>0)
 7: {
 8: //handle the cookies that are read from header
 9: ...
 10: }

这里的szBuffer就是我们获得的Set-Cookie的字符串,这里要讲一下Set-Cookie到底是啥,因为很多程序员对Set-Cookie的含义和表示形式不是特别了解。

每次我们在页面中设置Cookie值,无论是ASP还是ASP.NET,都会把设置的操作转换为Set-Cookie中的一段字符串,如果你使用Fiddler或者HttpFox跟踪这些请求的话,你会发现头里面有一项就是Set-Cookie项,这项仅在有设置Cookie的操作时才会有。另外,Set-Cookie中的每一个Cookie字符串使用逗号分隔开的,如下

Set-Cookie: test1=a; path=/, test2=b; path=/

这里设置了名为test1和test2的两个cookie值,单个cookie的属性之间使用分号分隔的。也正是因为如此,这段代码中使用strtok来获得字符串中每一段用逗号分隔的cookie字符串,这里的cookieNum表示Set-cookie中cookie字符串的总数(注意,不是字符的总数)。

一旦我们获得了每一个cookie的字符串,我们就可以把;HttpOnly附加到这些字符串的最后,并最终把字符串拼起来组成Set-Cookie字符串,关于如何做字符串拼接本文就不多讲了,这完全是C++实现的问题。

 

如何覆盖Set-Cookie字符串

这里的设置cookie和我们平时在代码里做的可不太一样,因为我们要直接修改请求中的Set-Cookie,之所以是修改而不是增加新的Set-Cookie,是因为Set-Cookie在请求的header中只能有一个,

HTTP_FILTER_SEND_RESPONSE * pResponse=(HTTP_FILTER_SEND_RESPONSE *)pvData;
BOOL fServer = TRUE;
fServer = pResponse->SetHeader(pfc, "Set-Cookie:",szHeader);

上面的代码把pvData转换成HTTP_FILTER_SEND_RESPONSE类型,这样我们就可以对Response进行操作,并通过调用它的SetHeader方法来设置Set-Cookie header。

 

完整代码下载:isapi_sample.zip (VC6项目),最主要的是MyISAPI.cpp和MyISAPI.def文件,其他都是工程文件。