我有一个 DropDownList,我试图防止它被用作攻击媒介。我是否可以假设用户无法实际更改 DDL 的值并回发到服务器?目前,如果我尝试在提交后更改数据包,则会抛出以下 ASP.NET 错误消息:
For security purposes, this feature verifies that arguments to postback or callback events originate from the server control that originally rendered them.
我是否正确地认为这是由于视图状态哈希的完整性受到损害?这个可以绕过吗?
Thanks
实际上,您应该能够假设只要页面具有 EnableEventValidation = true(这是默认设置,但您可以在每个页面或 web.config 中禁用它),客户端的下拉列表选项就没有更改。如果将新值添加到下拉列表客户端,并且发生回发,则会发生错误,除非您注册此新值以进行事件验证(http://odetocode.com/blogs/scott/archive/2006/03/21/asp-net-event-validation-and-invalid-callback-or-postback-argument-again.aspx)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)