4

客户可以伪造CommandArgument提供给ItemCommand事件的内容吗?RepeaterCommandEventArgs

在我正在处理的代码库中,它包含要删除的条目的 ID——它可能属于也可能不属于登录用户。我想知道在执行删除之前是否需要验证此值。

4

1 回答 1

3

CommandArgument 在 html 中找不到,也没有像输入值一样作为纯文本发回,但它是 ViewState 的一部分(存储在隐藏字段中)。如果你不加密 ViewState,或者如果有人可以解密它,它就可以被操纵。

有关强制 ViewState 加密的更多信息,请参阅以下链接之一:

于 2013-05-30T22:31:36.693 回答