我有一个问题,如果我在web.config中设置了以下属性
viewStateEncryptionMode="Always" enableViewStateMac="true"
是否仍然可以篡改我的网络表单上的控件值?
例如,如果我有3个可能值的下拉列表,例如“IND”,“AU”,“ML”有人还可以篡改此下拉列表并发送$%^等垃圾数据吗?
答案 0 :(得分:0)
使用这些设置,ViewState应该防止像thas这样的事情 - 如果在请求页面时发回的值不存在,则应该出现无效的Viewstate 错误。
当然,对于其他输入控件(例如TextBox或Hidden字段),它们被设计为具有客户端指定的值,而不检查它是服务器的值列表之一。在这些情况下,不要只依赖ViewState - 也要自己验证输入。