私はEnableEventValidation、ユーザーがフォームデータ、特に電子メールアドレスの値を変更できないようにするために使用しています(ユーザーが電子メールを入力して、サーバーから他のユーザーにスパムを送信するのを防ぐため)。私はEnableEventValidationtrueに設定しましたが、ユーザーがこれを回避または回避できるセキュリティ上の問題があるかどうかを知りたいです。
1 に答える
1
私の知る限り、EVENTVALIDATION+VIEWSTATEMACは安全な組み合わせです。VIEWSTATEMACが有効になっていない場合は、EVENTVALIDATIONを改ざんし、ASPが有効と見なす値を追加/編集することができます。ここに詳細があります:
http://www.jardinesoftware.net/2012/02/06/asp-net-tampering-with-event-validation-part-1/ http://www.jardinesoftware.net/2012/02/01/viewstatemac-真剣に有効にする/
ただし、セキュリティのためにASP(またはその他のフレームワーク)の自動検証システムに依存することはお勧めしません。
それが役に立てば幸い!
于 2012-05-16T11:57:38.290 に答える