我有我的网络应用程序,我在 web.config 下的属性下设置了 enableViewStateMac =" true" 。我试图验证视图状态的不同安全方面。
但是,有一种情况, enableViewStateMac =" true" 无法验证_ ViewState 已更改。我正在使用"TamperData" plugin of Firfox browser。使用Tamperdata,我完全删除了_VIEWSTATE的值,然后POST了Web请求。 POST请求成功发布,页面成功重定向到下一页,没有任何错误。
虽然根据我的知识和安全性测试到目前为止对enableViewStateMac =" true",但在我看来,EnableViewStateMac只能工作/验证weather _VIEWSTATE is being tampered or not。但它doesn't validate if _VIEWSTATE Value is being deleted/removed completely。
我是否有办法验证这一点(即如果有人完全删除了_VIEWSTATE的值)?
提前致谢, 快乐的编码:)
答案 0 :(得分:1)
生成页面时,请在ViewState中存储值。然后,在回发后,读取该值。如果__VIEWSTATE没有出现,您将在读取时收到空值。