asp.net - CommandArgument（与 ASP.NET 中继器一起使用）是否需要验证？

Question

客户可以伪造CommandArgument提供给ItemCommand事件的内容吗？RepeaterCommandEventArgs

在我正在处理的代码库中，它包含要删除的条目的 ID——它可能属于也可能不属于登录用户。我想知道在执行删除之前是否需要验证此值。

Answer 1

CommandArgument 在 html 中找不到，也没有像输入值一样作为纯文本发回，但它是 ViewState 的一部分（存储在隐藏字段中）。如果你不加密 ViewState，或者如果有人可以解密它，它就可以被操纵。

有关强制 ViewState 加密的更多信息，请参阅以下链接之一：

• http://msdn.microsoft.com/en-us/library/aa479501.aspx (.NET2)
• http://msdn.microsoft.com/en-us/library/bb386448%28v=vs.100%29.aspx#SecuringViewState (.NET4)