Nello scorso script abbiamo mostrato come Glimpse sia uno strumento estremamente utile per monitorare il comportamento del nostro sito web. Per default, però, esso è attivo solo finché il sito risiede su localhost, ossia sulla nostra macchina di sviluppo.
Questa impostazione è determinata in base a una serie di policy che vengono valutate a runtime. In particolare, LocalPolicy è quella responsabile di disattivare Glimpse al di fuori di localhost, e può essere facilmente disabilitata modificando la sezione glimpse all'interno del web.config:
<glimpse defaultRuntimePolicy="On" endpointBaseUri="~/Glimpse.axd"> <runtimePolicies> <ignoredTypes> <add type="Glimpse.AspNet.Policy.LocalPolicy, Glimpse.AspNet"/> </ignoredTypes> </runtimePolicies> </glimpse>
Dato che però Glimpse espone numerosi dettagli implementativi del nostro sito, non è il massimo far sì che tutti possano attivarlo o disattivarlo a piacimento, e magari recuperare informazioni sensibili sul codice che abbiamo realizzato. Un'idea, allora, può essere quella di restringerne l'utilizzo ai soli utenti amministratori.
Non esiste una policy specifica per questa regola, ma nulla ci vieta di crearne una personalizzata implementando l'interfaccia IRuntimePolicy:
using Glimpse.AspNet.Extensions; using Glimpse.Core.Extensibility; namespace WebApplication9 { public class AdministratorsOnlyPolicy : IRuntimePolicy { public RuntimeEvent ExecuteOn { get { return RuntimeEvent.EndRequest | RuntimeEvent.ExecuteResource; } } public RuntimePolicy Execute(IRuntimePolicyContext policyContext) { var context = policyContext.GetHttpContext(); return context != null && context.User.IsInRole("Administrator") ? RuntimePolicy.On : RuntimePolicy.Off; } } }
La nostra AdministratorsOnlyPolicy, secondo quando specificato dal metodo ExecuteOn, verrà invocata dal runtime in corrispondenza di ogni EndRequest, o quando proviamo ad accedere a Glimpse.axd (ExecuteResource).
Il metodo Execute implementa la logica tramite cui attivare o disattivare Glimpse. Nel nostro caso, ci limiteremo a valutare il principal corrente e verificare che appartenga al ruolo Administrator.
Non è necessaria alcuna registrazione per attivare questa policy: alla prima esecuzione, infatti, il runtime di Glimpse individua tutti gli IRuntimePolicy definiti e li attiva automaticamente, a meno che non appartengano alla lista di ignoreTypes che abbiamo definito in precedenza. Accedendo a Glimpse.axd, possiamo anche vedere una lista di tutte le policy correntemente attivate.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Configurare policy CORS in Azure Container Apps
Usare un KeyedService di default in ASP.NET Core 8
Utilizzare la session affinity con Azure Container Apps
Usare le variabili per personalizzare gli stili CSS
Disabilitare automaticamente un workflow di GitHub (parte 2)
Generare token per autenicarsi sulle API di GitHub
Come migrare da una form non tipizzata a una form tipizzata in Angular
Controllare gli accessi IP alle app con Azure Container Apps
Disabilitare automaticamente un workflow di GitHub
Utilizzare HiLo per ottimizzare le insert in un database con Entity Framework
Sfruttare lo stream rendering per le pagine statiche di Blazor 8
Ottimizzare il mapping di liste di tipi semplici con Entity Framework Core
I più letti di oggi
- Aggiungere il metodo SelectMany alla classe Array in TypeScript
- Usare gateway dedicati con Azure Cosmos DB per migliorare le prestazioni
- Recuperare i Popup aperti in una Windows Store app
- AI&ML Conf 2020 - Online
- Preview 4 per ASP.NET MVC
- Speciale Windows Store app: costruire app con WinRT per Windows 8
- Microsoft Security Bulletin MS02-050
- Microsoft Security Bulletin MS04-033
- Attivare l'output caching su ASP.NET Web API
- Ottimizzare l'utilizzo di banda tramite ETag in ASP.NET Core Web API