asp.net – 我可以在html源代码中看到ViewStateUserKey吗？

我们最近没有通过漏洞测试,因为测试人员说他无法“观察”html源代码中存在的漏洞.我希望我可以简单地解码ViewState并查看ViewStateUserKey,但是,当我解码视图状态(使用Fiddler2 ViewState检查器或其中一个在线解码器站点,如http://ignatu.co.uk/ViewStateDecoder.aspx)时,我看不到ViewStateUserKey.我可以在viewstate中看到值,混合了一堆乱码,但ViewStateUserKey本身似乎是在乱码中编码的.

例如,这里是解码的视图状态(使用Fiddler2 ViewState检查器),一个页面具有一个DropDownList控件,其中包含4个值(Text1,Text2,Text3,Text4),您可以看到与乱码混合的值：

?-1665646599dfddddfText11gText22gText33gText44gddd?"H~E* =91??;??O!??;?O?B?g

这是同一页面,ViewStateUserKey设置为静态值“cat”(我知道当设置为静态值时,ViewStateUserKey没有用).

?-1665646599dfddddfText11gText22gText33gText44gddd?Gpb????c??uy?l????F3??>?h?~

观点结束时的胡言乱语发生了变化;似乎ViewStateUserKey隐藏在乱码中.但有没有办法向漏洞测试人员证明这一点？

注意,如果我将enableViewStateMAC设置为“false”(当然在生产中永远不会这样做),我会得到不同的乱码,但我仍然无法在html源代码中看到ViewStateUserKey.