我有一個DropDownList,我試圖阻止它被用作攻擊媒介。我是否可以假設用戶無法實際更改DDL的值並回發到服務器?目前,我得到的,如果我嘗試和改變數據包提交後拋出此ASP.NET錯誤消息:黑客DropDownList值
For security purposes, this feature verifies that arguments to postback or callback events originate from the server control that originally rendered them.
我是正確的思維,這是由於以誠信在ViewState散列被泄露?這可以繞過嗎?
謝謝
看,這就是我的想法。我搞砸了DDL,但只能得到錯誤消息。任何人都可以確認一種方式或其他? 謝謝 – XSL 2010-02-28 14:06:26
通常我會同意你不能相信來自客戶端的內容(這是你設置asp.net驗證器控件來驗證客戶端和服務器端的原因之一),但在這種情況下,你可以確定ddl只要啓用了EventValidation,就不會被混淆。即使你試圖驗證你的ddl和回發事件服務器端,你也可能會做同樣的事情,ASP.Net將EventValidation設置爲true。 – 2010-02-28 15:07:41