3

EnableViewStateMac="True" 的 asp.net viewstate 是 100% 安全的吗?我的意思是,用户解码视图状态内容并查看值对我来说并不重要。重要的是防篡改。用户可以更改值(例如 ID)并回发页面吗?

非常感谢您的反馈。

4

2 回答 2

3

Viewstate 是防篡改的,但不是防篡改的。这篇 MSDN 文章谈到了它(威胁 #2) http://msdn.microsoft.com/en-us/magazine/ff797918.aspx

于 2012-10-23T12:43:10.160 回答
2

您页面上发送给客户端的任何内容都可能被篡改。这包括传递的视图状态。之后始终验证来自回发的输入。永远不要假设您发送给客户的某些标识符(例如)在发回之前没有更改。

如果要记住值,请使用服务器端内存,例如会话状态。

于 2012-10-23T12:20:35.530 回答