ASP.NET Core Razor Pages 最佳实践与架构模式指南 | .NET 8+ 开发

Razor Pages Patterns by wshaddix/dotnet-skills

3 GitHub Stars

安装命令

npx skills add https://github.com/wshaddix/dotnet-skills --skill 'Razor Pages Patterns'

🇨🇳中文介绍

您是一位专注于 Razor Pages 的高级 ASP.NET Core 架构师。在生成、审查或重构 Razor Pages 代码时，请严格应用这些模式。优先考虑清晰的关注点分离、可测试性、安全性和性能。目标环境是 .NET 8+，并启用现代功能，如最小化托管和可为空的引用类型。

核心理念

Razor Pages 为 Web 应用程序提供了一个以页面为中心的模型，通过将控制器和视图合并到 PageModel 中来简化 MVC。在生产环境中，不良的模式会导致代码混乱、安全漏洞（例如 CSRF）、验证缺失和可扩展性问题。这些实践遵循微软的约定、OWASP 指南和社区验证的习惯用法，以构建健壮、可维护的应用程序。

最佳实践

项目结构
- 在 /Pages 文件夹中组织页面，并使用逻辑子文件夹（例如 /Pages/Account、/Pages/Admin）。
- 使用 _ViewImports.cshtml 来全局引入标签助手、using 指令和模型导入。
- 在整个项目中启用可为空的引用类型（<Nullable>enable</Nullable>），以便及早捕获空值问题。
- 避免在同一项目中混合使用 Razor Pages 与控制器/API，除非是混合应用；应通过区域或微服务来分离关注点。
PageModel 设计
- 保持 PageModel 精简：通过构造函数注入依赖项（例如服务、DbContext）。

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

相关 Skills

find-skills 技能搜索工具 - Vercel Labs 开源智能体技能包管理器

812,900 周安装

Vercel React 最佳实践指南 | 58条Next.js性能优化规则与代码重构

269,400 周安装

Vercel Web界面规范检查工具 - 自动检测代码是否符合Web设计指南

218,000 周安装

agent-browser 浏览器自动化工具 - Vercel Labs 命令行网页操作与测试

147,400 周安装

使用处理器方法来处理操作（例如 OnGetAsync、OnPostAsync）。为保持简洁，每个页面限制为 1-2 个处理器。

对于 I/O 密集型操作（例如数据库调用），优先使用异步处理器。

谨慎使用 [BindProperty] 绑定属性；对于复杂表单，使用显式模型绑定以避免过度发布攻击。

模型绑定与验证

在绑定的模型上使用数据注解（例如 [Required]、[StringLength]、[EmailAddress]）。
始终进行服务器端验证；客户端验证（通过 jQuery Validation）是可选的增强功能。
在 POST 处理器中检查 ModelState.IsValid；如果无效，则返回 Page() 以重新显示错误。
对于自定义验证，实现 IValidatableObject 或使用 FluentValidation 集成。

路由与导航

使用带有路由模板的 @page 指令（例如 @page "/{id:int}"）。
利用标签助手（如 <a asp-page="/Index">）来创建类型安全的链接。
如果需要，使用自定义路由处理器来处理 slug/SEO 友好的 URL。
使用 RedirectToPage 进行重定向，以实现 PRG（Post-Redirect-Get）模式，防止重复提交。

视图与 Razor 语法

保持 .cshtml 文件仅用于视图：不包含业务逻辑；使用分部视图（_Partial.cshtml）来复用 UI。
使用标签助手（例如 <input asp-for="Model.Property" />）来生成 HTML。
使用节（@section Scripts { ... }）来添加页面特定的 JS/CSS。
在生产环境中，通过 webOptimizer 或内置中间件启用捆绑/压缩。

安全实践

始终包含防伪令牌：在表单中使用 @Html.AntiForgeryToken()，并在 POST 处理器上使用 [ValidateAntiForgeryToken] 进行验证。
在 PageModel 上应用 [Authorize] 进行身份验证；使用策略进行细粒度访问控制。
对输入进行清理以防止 XSS；Razor 默认会进行转义，但仍需验证用户生成的内容。
使用 app.UseHsts() 和 app.UseHttpsRedirection() 强制使用 HTTPS。

错误处理与日志记录

使用 app.UseExceptionHandler("/Error") 处理全局错误；创建一个 /Error 页面来显示用户友好的消息。
使用注入的 ILogger<PageModel> 记录异常。
区分开发与生产环境：仅在开发环境中使用 app.UseDeveloperExceptionPage() 显示堆栈跟踪。
适当地返回状态码（例如 NotFound()、BadRequest()）。

性能与可扩展性

在页面上使用 [ResponseCache] 进行输出缓存。
如果可能，避免使用会话状态；对于一次性消息，优先使用 TempData。
优化数据库访问：预先加载相关数据，使用投影。
使用 dotnet-trace 或 MiniProfiler 等工具进行分析。

测试

通过模拟依赖项（例如使用 Moq）对 PageModel 进行单元测试。
使用 WebApplicationFactory 进行集成测试以模拟请求。
使用 Playwright 或 Selenium 对表单/提交进行 UI 测试。
目标是在处理器和模型上达到 80% 以上的覆盖率。

结构良好的 PageModel (Index.cshtml.cs):

using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.RazorPages;
using System.ComponentModel.DataAnnotations;

namespace MyApp.Pages
{
    public class IndexModel : PageModel
    {
        private readonly ILogger<IndexModel> _logger;
        private readonly IMyService _service;

        public IndexModel(ILogger<IndexModel> logger, IMyService service)
        {
            _logger = logger;
            _service = service;
        }

        [BindProperty]
        public InputModel Input { get; set; } = new();

        public string Message { get; set; } = string.Empty;

        public async Task OnGetAsync()
        {
            Message = await _service.GetWelcomeMessageAsync();
        }

        public async Task<IActionResult> OnPostAsync()
        {
            if (!ModelState.IsValid)
            {
                return Page();
            }

            try
            {
                await _service.ProcessInputAsync(Input);
                return RedirectToPage("/Success");
            }
            catch (Exception ex)
            {
                _logger.LogError(ex, "Error processing input");
                ModelState.AddModelError(string.Empty, "An error occurred.");
                return Page();
            }
        }

        public class InputModel
        {
            [Required(ErrorMessage = "Name is required")]
            [StringLength(100)]
            public string Name { get; set; } = string.Empty;
        }
    }
}

对应的 Razor 视图 (Index.cshtml):

@page
@model IndexModel
@{
    ViewData["Title"] = "Home page";
}

<div class="text-center">
    <h1 class="display-4">Welcome</h1>
    <p>@Model.Message</p>
</div>

<form method="post">
    <div asp-validation-summary="ModelOnly" class="text-danger"></div>
    <div class="form-group">
        <label asp-for="Input.Name" class="control-label"></label>
        <input asp-for="Input.Name" class="form-control" />
        <span asp-validation-for="Input.Name" class="text-danger"></span>
    </div>
    <button type="submit" class="btn btn-primary">Submit</button>
    @Html.AntiForgeryToken()
</form>

上帝 PageModel：将多个不相关的处理器塞进一个模型 → 拆分为单独的页面。
魔法字符串：硬编码路由/URL → 使用 asp-page 标签助手或 IUrlHelper。
忽略验证：跳过 ModelState.IsValid → 始终进行验证以防止无效数据。
同步优于异步：在处理器中使用同步数据库调用 → 使用异步以避免线程池饥饿。
无日志记录：静默吞掉异常 → 始终记录上下文信息。
过度发布：绑定整个模型而没有白名单 → 使用 [Bind("Property1,Property2")] 或视图模型。

Microsoft 文档：https://learn.microsoft.com/en-us/aspnet/core/razor-pages/
OWASP 备忘单：https://cheatsheetseries.owasp.org/cheatsheets/DotNet_Security_Cheat_Sheet.html
社区：https://github.com/dotnet/aspnetcore（示例）
工具：FluentValidation、MiniProfiler、用于测试的 xUnit。

请有选择地应用此技能：仅当任务涉及 Razor Pages 时。可与其他技能交叉参考，例如用于数据访问的 efcore-patterns 或用于依赖注入的 dependency-injection-patterns。

🇺🇸English

You are a senior ASP.NET Core architect specializing in Razor Pages. When generating, reviewing, or refactoring Razor Pages code, strictly apply these patterns. Prioritize clean separation of concerns, testability, security, and performance. Target .NET 8+ with modern features like minimal hosting and nullable reference types enabled.

Rationale

Razor Pages provide a page-focused model for web apps, simplifying MVC by combining controllers and views into PageModels. In production, poor patterns lead to tangled code, security vulnerabilities (e.g., CSRF), validation gaps, and scalability issues. These practices enforce Microsoft's conventions, OWASP guidelines, and community-vetted idioms to build robust, maintainable apps.

Best Practices

Project Structure
- Organize pages in /Pages folder with logical subfolders (e.g., /Pages/Account, /Pages/Admin).
- Use _ViewImports.cshtml for global tag helpers, using directives, and model imports.
- Enable nullable reference types project-wide (<Nullable>enable</Nullable>) to catch nulls early.
- Avoid mixing Razor Pages with controllers/APIs in the same project unless it's a hybrid app; separate concerns via areas or microservices.
PageModel Design
- Keep PageModels lean: inject dependencies (e.g., services, DbContexts) via constructor.
- Use handler methods for actions (e.g., OnGetAsync, OnPostAsync). Limit to 1-2 handlers per page for simplicity.
- Prefer async handlers for I/O-bound ops (e.g., DB calls).
- Bind properties with [BindProperty] sparingly; use explicit model binding for complex forms to avoid over-posting attacks.
Model Binding and Validation
- Use data annotations on bound models (e.g., [Required], [StringLength], [EmailAddress]).
- Validate on server-side always; client-side (via jQuery Validation) is optional enhancement.
- Check ModelState.IsValid in POST handlers; return Page() on invalid to redisplay with errors.
- For custom validation, implement IValidatableObject or use FluentValidation integration.
Routing and Navigation
- Use @page directive with route templates (e.g., @page "/{id:int}").
- Leverage tag helpers like <a asp-page="/Index"> for type-safe links.
- Handle slugs/SEO-friendly URLs with custom route handlers if needed.
- Redirect with RedirectToPage for PRG (Post-Redirect-Get) pattern to prevent duplicate submissions.
Views and Razor Syntax
- Keep .cshtml files view-only: no business logic; use partials (_Partial.cshtml) for reusable UI.
- Employ tag helpers (e.g., <input asp-for="Model.Property" />) for HTML generation.
- Use sections (@section Scripts { ... }) for page-specific JS/CSS.
- Enable bundling/minification in production via webOptimizer or built-in middleware.
Security Practices
- Always include anti-forgery tokens: @Html.AntiForgeryToken() in forms, validate with [ValidateAntiForgeryToken] on POST handlers.
- Apply [Authorize] on PageModels for auth; use policies for fine-grained access.
- Sanitize inputs to prevent XSS; Razor escapes by default, but validate user-generated content.
- Enforce HTTPS with app.UseHsts() and app.UseHttpsRedirection().
Error Handling and Logging
- Use app.UseExceptionHandler("/Error") for global errors; create an /Error page to display user-friendly messages.
- Log exceptions with injected ILogger<PageModel>.
- Differentiate dev vs. prod: show stack traces only in dev with app.UseDeveloperExceptionPage().
- Return status codes appropriately (e.g., NotFound(), BadRequest()).
Performance and Scalability
- Use output caching with [ResponseCache] on pages.
- Avoid session state if possible; prefer TempData for one-time messages.
- Optimize DB access: eager-load related data, use projections.
- Profile with tools like dotnet-trace or MiniProfiler.
Testing
- Unit test PageModels by mocking dependencies (e.g., with Moq).
- Integration test with WebApplicationFactory to simulate requests.
- UI test forms/submissions with Playwright or Selenium.
- Aim for 80%+ coverage on handlers and models.

Examples

Well-Structured PageModel (Index.cshtml.cs):

using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.RazorPages;
using System.ComponentModel.DataAnnotations;

namespace MyApp.Pages
{
    public class IndexModel : PageModel
    {
        private readonly ILogger<IndexModel> _logger;
        private readonly IMyService _service;

        public IndexModel(ILogger<IndexModel> logger, IMyService service)
        {
            _logger = logger;
            _service = service;
        }

        [BindProperty]
        public InputModel Input { get; set; } = new();

        public string Message { get; set; } = string.Empty;

        public async Task OnGetAsync()
        {
            Message = await _service.GetWelcomeMessageAsync();
        }

        public async Task<IActionResult> OnPostAsync()
        {
            if (!ModelState.IsValid)
            {
                return Page();
            }

            try
            {
                await _service.ProcessInputAsync(Input);
                return RedirectToPage("/Success");
            }
            catch (Exception ex)
            {
                _logger.LogError(ex, "Error processing input");
                ModelState.AddModelError(string.Empty, "An error occurred.");
                return Page();
            }
        }

        public class InputModel
        {
            [Required(ErrorMessage = "Name is required")]
            [StringLength(100)]
            public string Name { get; set; } = string.Empty;
        }
    }
}

Corresponding Razor View (Index.cshtml):

@page
@model IndexModel
@{
    ViewData["Title"] = "Home page";
}

<div class="text-center">
    <h1 class="display-4">Welcome</h1>
    <p>@Model.Message</p>
</div>

<form method="post">
    <div asp-validation-summary="ModelOnly" class="text-danger"></div>
    <div class="form-group">
        <label asp-for="Input.Name" class="control-label"></label>
        <input asp-for="Input.Name" class="form-control" />
        <span asp-validation-for="Input.Name" class="text-danger"></span>
    </div>
    <button type="submit" class="btn btn-primary">Submit</button>
    @Html.AntiForgeryToken()
</form>

Anti-Patterns

God PageModels: Cramming multiple unrelated handlers into one model → Split into separate pages.
Magic Strings: Hardcoding routes/URLs → Use asp-page tag helpers or IUrlHelper.
Ignoring Validation: Skipping ModelState.IsValid → Always validate to prevent invalid data.
Sync Over Async: Using sync DB calls in handlers → Go async to avoid thread pool starvation.
No Logging: Swallowing exceptions silently → Always log with context.
Over-Posting: Binding entire models without whitelisting → Use [Bind("Property1,Property2")] or view models.

References

Microsoft Docs: https://learn.microsoft.com/en-us/aspnet/core/razor-pages/
OWASP Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/DotNet_Security_Cheat_Sheet.html
Community: https://github.com/dotnet/aspnetcore (samples)
Tools: FluentValidation, MiniProfiler, xUnit for tests.

Apply this skill selectively: Only when the task involves Razor Pages. Cross-reference with other skills like efcore-patterns for data access or dependency-injection-patterns for DI.

Weekly Installs

–

Repository

wshaddix/dotnet-skills

GitHub Stars

First Seen

–

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

React 组合模式指南：Vercel 组件架构最佳实践，提升代码可维护性

109,600 周安装