程序员经验分享-hwhale

ASP.Net 网站中的 ViewStateEncryption 是否必须启用 EnableViewStateMAC=true?

2024-01-09

我目前正在修复 ASP.net 网站应用程序中的一些安全问题。

问题之一是ViewState没有加密。

所以我确实在 StackOverFlow 和其他地方检查了如何加密 viewState,并且我使用<pages viewStateEncryptionMode="Always" />并像这样添加 3DES 机器密钥<machineKey validation="3DES" />在 Web.config 中。

我想知道是否"EnableViewStateMAC=true"也是强制必须的吗?因为我在网上找到的一些建议解决方案中提到了这一点。 但是,在我的检查中,我发现即使没有这个加密也能工作。

[注意:我必须在应用程序级别 (Web.config) 进行这些更改,因为更改单个页面对于此应用程序来说不是一个实用的解决方案。]


即使启用了加密,也不要将 EnableViewStateMac 设置为 false。 MAC保证客户端不能恶意篡改ViewState的内容。 (加密本身不足以保证这一点;MAC 是必要的。)

EnableViewStateMac 属性将在产品的未来版本中删除,因为没有正当理由将其设置为“false”。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

c

aspnet

NET

Encryption

viewstate

ASP.Net 网站中的 ViewStateEncryption 是否必须启用 EnableViewStateMAC=true? 的相关文章

  • 未找到 Boost 库,但编译正常

    我正在尝试在 C 中使用 boost 的文件系统 使用时看起来编译没问题 c c Analyse c o Analyse o g W Wall L usr local lib lboost filesystem lboost system

  • 打印“X”个字符数与“X”字符串长度的所有可能组合(暴力破解)

    我正在尝试编写一个单词组合生成器 我的意思是打印 X 个字符数与 X 字符串长度的所有可能组合 首先 我需要说的是 我在 StackOverFlow 中看到了一个关于这个问题的问题 其中有很多单词生成器的答案来执行此操作 在不同的语言上 但

  • 传递 constexpr 对象

    我决定给予新的C 14的定义constexpr旋转并充分利用它 我决定编写一个小的编译时字符串解析器 然而 我正在努力保持我的对象constexpr将其传递给函数时 考虑以下代码 include

  • Task.Run 作为反模式?

    我正在将 SQLite NET PCL 库用于我的 WinRT 项目SQliteAsyncConnection类 它提供经典的异步版本SQLiteConnection方法 然而 就该项目而言Github页面 https github com

  • 处理右值时的 insert 与 emplace

    std string myString std unordered set

  • 如何使用 Regex.Replace 从字符串中删除数字?

    我需要使用Regex Replace从字符串中删除所有数字和符号 输入示例 123 abcd33输出示例 abcd 请尝试以下操作 var output Regex Replace input d string Empty The d标识符

  • SecurityAction.RequestMinimum 在 .Net 4.0 中已过时

    最近 我们的 Net 客户端库正在升级以针对 Net 4 0 进行编译 将目标框架更改为4 0后 应用程序出现一些编译错误 In AssemblyInfo cs assembly SecurityPermission SecurityAct

  • 不同 C++ 文件中的相同类名

    如果两个 C 文件具有相同名称的类的不同定义 那么当它们被编译和链接时 即使没有警告也会抛出一些东西 例如 a cc class Student public std string foo return A void foo a Stude

  • 在 C# 中检查 PowerShell 执行策略的最佳方法是什么?

    当你跑步时Get ExecutionPolicy在 PowerShell 中 它得到有效的执行政策 https learn microsoft com en us powershell module microsoft powershell

  • 如何使用 x64 运行 cl?

    我遇到了和这里同样的问题致命错误 C1034 windows h 未设置包含路径 https stackoverflow com questions 931652 fatal error c1034 windows h no include

  • 已发布的 .Net Core 应用程序警告安装 .Net Core,但它已安装

    我制作了一个 WPF 和控制台应用程序 供某人在我无法访问的私人服务器上使用 我使用 Visual Studio 2019 的内置 发布向导 来创建依赖于框架的单文件应用程序 当该人打开 WPF 应用程序时 他们会看到标准警告 他们单击 是

  • 如果输入被重定向则执行操作

    我想知道如果我的输入被重定向 我应该如何在 C 程序中执行操作 例如 假设我有已编译的程序 prog 并且我将输入 input txt 重定向到它 我这样做 prog lt input txt 我如何在代码中检测到这一点 一般来说 您无法判

  • 比较:接口方法、虚方法、抽象方法

    它们各自的优点和缺点是什么 接口方法 虚拟方法 抽象方法 什么时候应该选择什么 做出这一决定时应牢记哪些要点 虚拟和抽象几乎是一样的 虚方法在基类中有一个实现 可以选择重写 而抽象方法则没有 并且must在子类中被覆盖 否则它们是相同的 在

  • Visual Studio 2015:v120 与 v140?

    仅供参考 Win10 x64 我今天开始尝试 Visual Studio 2015 在弄清楚如何运行 C C 部分后 我尝试加载一个大型个人项目 该项目使用非官方的glsdk http glsdk sourceforge net docs

  • 了解 Lambda 表达式和委托 [关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 我已经尝试解决这个问题很长一段时间了 阅读在线博客和文章 但到目前为止还没有成功 什么是代表 什么是 Lambda 表达式 两者的优点

  • 如何在 sql azure 上运行 aspnet_regsql? [复制]

    这个问题在这里已经有答案了 可能的重复 将 ASP NET 成员资格数据库迁移到 SQL Azure https stackoverflow com questions 10140774 migrating asp net membersh

  • 为什么空循环使用如此多的处理器时间?

    如果我的代码中有一个空的 while 循环 例如 while true 它将把处理器的使用率提高到大约 25 但是 如果我执行以下操作 while true Sleep 1 它只会使用大约1 那么这是为什么呢 更新 感谢所有精彩的回复 但我

  • 正则表达式仅允许特定数字

    我正在寻找一个只允许输入特定数字的正则表达式 例如2 4 5 6 10 18 我尝试过类似的东西 2 4 5 6 10 18 我输入的任何内容都无法通过正则表达式 然后计算机用手指着我并大笑 我哪里出错了 单引号是不必要的 您正在寻找的正则

  • 我可以使用 lambda 函数或 std::function 对象来代替函数指针吗?

    我有一个需要使用的库 它定义了以下内容 typedef void CallbackFunction const int i 并且有一个注册回调的函数 如下所示 void registerCallback CallbackFunction p

  • 当用户更改 Windows 中的语言键盘布局时如何通知?

    I want to show a message to user when the user changes the language keyboard layout of Windows for example from EN to FR

随机推荐

  • 确定 WPF 弹出窗口使用哪个 CustomPopupPlacement

    我试图找出传入的数组中的哪一个CustomPopupPlacement弹出窗口实际渲染时已使用位置 有什么事件可以检测到这一点吗 2009 年的 msdn 线程似乎正是我的问题 但似乎没有答案 http social msdn micros

  • 在AWS中重新分配私有IP地址?

    我有一个在弹性 IP 后面运行的 AWS 实例 该实例在我的 VPC 中还有一个私有 IP 地址 我将把弹性 IP 重新分配给另一个实例 并尝试重新分配私有 IP 请注意 该实例只有一个私有 IP 无辅助 IP 这可能吗 除非这是 辅助私有

  • Java接口抛出异常但接口实现不抛出异常?

    我读到这段代码 其中接口抛出异常 但实现它的类不会抛出或捕获异常 这是为什么 java中它合法还是安全 import java rmi public interface MyRemote extends Remote public Stri

  • 如何将字符串转换为数学函数一次?

    我想构建类似于 desmos 的东西 您可以在画布中绘制图形 然后移动它 到目前为止我已经成功了 但唯一剩下的就是用户输入 Using a

  • jsondoc-ui.html 未加载,错误 404

    我没有应该加载jsondoc ui html 错误404 虽然http localhost 8080 jsondoc http localhost 8080 jsondoc有效 我得到了我的文档 但没有用户界面 使用您的指示http jso

  • 谷歌浏览器在alert()函数上的不可预测的行为

    正如你所看到的一种阻塞函数 例如alert 产生其输出不按顺序Google Chrome 事件队列的填充时间为setTimeout 函数 基于此代码 for var i 1 i lt 6 i function index setTimeou

  • 单击复选框时可展开和折叠功能起作用

    我使用创建了一个表jquery datatable 我也在使用响应式功能datatable使其具有响应能力 代码工作正常 但我面临的问题是表格的第一列有一个复选框 当我们将表格宽度调整为较小宽度时 可折叠选项将如下所示 现在当我们点击che

  • Bazel:如何获取输出二进制文件的路径?

    考虑somepath BUILD file load io grpc grpc java java grpc library bzl java grpc library proto library name bar proto srcs b

  • Android :: 如何断开与 wifi 网络的连接?

    我用谷歌搜索发现很多网站都在说 禁用 Wifi 无线电 但就我而言 我只想让 Android 设备断开与特定 wifi 网络 SSID 已知 的连接 而不关闭 WiFi 无线电 请给我一些关于这个问题的见解 哇 这不应该花一个月的时间才能得

  • Wpf 自定义日期选择器用户控件

    我想创建一个用户控件来从用户那里获取日期 它应该有三个文本框 一个代表年 月和日 我不知道如何创建它

  • 如何告诉 Android 不要缩放图像?

    我在 drawable 文件夹中有一些图片 据我了解 这些图片被解释为 drawable mdpi 现在 这些图像在使用时会缩放 取决于设备 我不想添加更多图片 因为它们不存在 而且我没有资源来创建不同分辨率的图片 我只是希望图片在更大的设

  • 用C++代码清除Linux中的终端

    好的 我一直在研究如何做到这一点 但是假设我正在运行一个在终端上有大量输出的程序 我如何从程序中清除屏幕以便我可以保持程序运行 我知道我可以直接输入clear在终端中 它清除它很好 但就像我说的 对于这个程序来说 这对我来说更有利 我发现了

  • std::string_view 文字是否保证以 null 终止?

    我知道一件微不足道的事std string view不保证以空终止 然而 我不知道是否std string view文字保证以空终止 例如 include

  • 使用上下文调用另一个类的方法

    我有一个带有 ImageButton 的自定义标题栏 它会生成一个对话框 当从对话框中选择列表项并且标题栏和地图位于地图中时 我希望能够在地图 在另一个类中 上显示位置 放置 itemizedOverlay 相同的上下文 我在某处读到我可以

  • 正则表达式:C++ 提取双引号内的文本

    我只想提取双引号内的那些单词 那么 如果内容是 Would you like to have responses to your questions sent to you via email 答案一定是 1 你 2 问题 std stri

  • 下载视频时 Pytube keyerror 'streamData'

    我正在编写一个代码 通过编写下面的代码来查看可用的视频流 from pytube import Playlist from pytube import YouTube as YT import threading as th import

  • 正确获取动态 bash 提示符 PS1

    我正在开发一个动态 bash 提示符 我想在 PS1 中报告本地文件系统上启用了哪个版本的配置文件 这是我想做的一个人为的例子 经过简化 出错的地方 包装不良和 或出现转义括号 谁能发现我做错了什么吗 如果设计的配置与 v2 匹配 我希望在

  • 为 ace 编辑器设置值,而不选择整个编辑器

    所以你可以设置 ace 编辑器的值setValue但设置值后 编辑器会选择编辑器的整个值 如何禁用此功能 这意味着当我将 ace editor 的值设置为Hello world 它不会突出显示Hello world setValue后可以使

  • Angular2 - 从元素中删除禁用属性

    我有一个使用名为的指令的表单ng select这增强了选择输入 在我的设置中 我允许用户进行一些选择 然后单击 过滤器 按钮 单击此按钮后 我禁用输入 HTML div class form group div class input gr

  • ASP.Net 网站中的 ViewStateEncryption 是否必须启用 EnableViewStateMAC=true?

    我目前正在修复 ASP net 网站应用程序中的一些安全问题 问题之一是ViewState没有加密 所以我确实在 StackOverFlow 和其他地方检查了如何加密 viewState 并且我使用

热门标签