通过CommandArgument提交给ItemCommand事件的RepeaterCommandEventArgs可以被客户伪造吗?
在我正在处理的代码库中,它保存了要删除的条目的ID - 可能属于也可能不属于登录用户。我想知道在执行删除之前这个值是否需要验证。
答案 0 :(得分:3)
在html中找不到CommandArgument,或者作为输入值以纯文本形式发回,但它是ViewState的一部分(存储在隐藏字段中)。如果您不加密ViewState,或者有人可以解密它,则可以对其进行操作。
有关强制ViewState加密的详细信息,请参阅其中一个链接: