asp.net – 黑客DropDownList值

发布时间：2020-12-16 06:42:46 所属栏目：asp.Net 来源：网络整理

导读：我有一个DropDownList,我试图阻止它被用作攻击媒介.我可以假设用户无法实际更改DDL的值并回发到服务器吗？目前,如果我在提交后尝试更改数据包,则会抛出此ASP.NET错误消息：出于安全考虑,此功能可验证回发或回调事件的参数是否来自最初呈现它们的服务器控件.

我有一个DropDownList,我试图阻止它被用作攻击媒介.我可以假设用户无法实际更改DDL的值并回发到服务器吗？目前,如果我在提交后尝试更改数据包,则会抛出此ASP.NET错误消息：

出于安全考虑,此功能可验证回发或回调事件的参数是否来自最初呈现它们的服务器控件.

我是否正确地认为这是由于视图状态哈希中的完整性受到损害？这可以被绕过吗？

谢谢

解决方法

实际上,只要页面具有EnableEventValidation = true(默认情况下您可以在每页或web.config中禁用它),您应该能够假设下拉列表选项尚未在客户端更改.如果将新值添加到下拉列表客户端,并且发生回发,则会发生错误,除非您为事件验证注册了此新值( http://odetocode.com/blogs/scott/archive/2006/03/21/asp-net-event-validation-and-invalid-callback-or-postback-argument-again.aspx)

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!