考虑:
Content-Disposition: form-data; name="__VIEWSTATE"
/wEPDwUKMTQxNzIxMTc0MQ9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkflsROmXoLo8ar8ukWWYDh1Wr2BCwmhiAAqpX/xwqLq8=
Content-Disposition: form-data; name="__EVENTVALIDATION"
/wEWBgKJ1KD6AwKH3P+GBQLr/4HeAgKWoZqyCQLinqurDALt3oXMA0YLgb/Mt6KGihl+8ixYoY9A24wgHGGoPAINhuyP7nEl
我们建立了一个用户可以上传照片的网站。后来我们决定用户也可以通过其他应用程序上传照片,我们希望有一个统一的界面。所以其他应用程序使用同一页面。
我们注意到,除非我们知道__EVENTVALIDATION和__VIEWSTATE的值,否则我们无法上传照片。
当然,应用程序可以只加载上传图像,但这有点麻烦。
无论如何,那是什么?有没有办法将图像上传到aspx上传网页而不指定内容?
答案 0 :(得分:19)
HTTP是一种无状态协议,这意味着客户端和服务器没有内置的方法来跟踪应用程序从一个请求到下一个请求的状态。已经发明了各种技术来规避诸如cookie之类的技术。 ViewState和事件验证是ASP.NET用来为网页提供状态感的两种技术。
ViewState中的数据是发送到客户端时所有控件(输入字段,复选框等)的状态。当表单发回服务器时,ASP.NET可以判断用户是否更改了任何字段中的任何值,并可以引发反映此事件的事件(CheckedChanged on a checkbox for example)。如果没有ViewState,服务器将无法判断是否有任何字段已更改。
事件验证可确保在客户端上引发的事件源自ASP.NET呈现的控件。
以下是a paper on ViewState和another that covers event validation。