我正在使用EnableEventValidation来阻止用户更改表单数据中的值,特别是电子邮件地址(以防止用户将电子邮件放入可能会从我的服务器发送垃圾邮件)。我将EnableEventValidation设置为true,但我想知道是否存在任何安全问题,用户可以绕过它或绕过它。
答案 0 :(得分:1)
据我所知,EVENTVALIDATION + VIEWSTATEMAC是一个安全的组合。如果未启用VIEWSTATEMAC,则可以篡改EVENTVALIDATION并添加/编辑ASP将视为有效的值。这里有更多信息:
http://www.jardinesoftware.net/2012/02/06/asp-net-tampering-with-event-validation-part-1/ http://www.jardinesoftware.net/2012/02/01/viewstatemac-seriously-enable-it/
但是,不建议依靠ASP(或任何其他框架)自动验证系统来保证安全。
希望它有所帮助!