我EnableEventValidation用来防止用户更改表单数据中的值,特别是电子邮件地址(以防止用户将电子邮件放入可能从我的服务器向其他人发送垃圾邮件)。我已EnableEventValidation设置为 true,但我想知道是否存在任何用户可以绕过或绕过它的安全问题。
问问题
349 次
1 回答
1
据我所知,EVENTVALIDATION+VIEWSTATEMAC 是一个安全的组合。如果 VIEWSTATEMAC 未启用,则可以篡改 EVENTVALIDATION 并添加/编辑 ASP 将视为有效的值。这里有更多信息:
http://www.jardinesoftware.net/2012/02/06/asp-net-tampering-with-event-validation-part-1/ http://www.jardinesoftware.net/2012/02/01/viewstatemac-认真启用它/
但是,不建议依赖 ASP(或任何其他框架)自动验证系统来确保安全。
希望能帮助到你!
于 2012-05-16T11:57:38.290 回答