4

Web アプリで「無効なポストバックまたはコールバック引数」に関する例外が発生することにうんざりしています。このエラーの原因はどのようなシナリオですか?

ユーザーと話し合った結果、この原因の 1 つとして、ユーザーがポストバックを引き起こす何かをクリックし、最初のポストバックが完了する前に別の何かをクリックしたことが考えられると判断しました。

イベント検証を無効にすることの害は何ですか? 価値があるのは、セキュリティを強化するためにSecureIISがインストールされていることです。

更新: 一部の場所では、Javascript を使用して、ドロップダウン リスト オプションなどの特定のコントロール値を変更します (これは、ユーザー エクスペリエンスを向上させ、ポストバックを減らすために行います)。これがエラーの原因である可能性があります。すべてのユーザー入力に対して厳密な編集が行われているため、EventValidation の無効化に進みます。ありがとうございました!

4

2 に答える 2

8

イベント検証では、値が手動で改ざんされていないことを確認します。たとえば、関連するコントロールで許可されている範囲外です。たとえば、1、2、または3の3つの選択肢があるドロップダウンリストがある場合...ユーザー(または悪意のある仲介者)が値を4に変更すると、検証は失敗します。

着信値が有効であることを確認するために各ハンドラーで独自のチェックを行っており、予期しない入力によって何も起こらない(最も安全な)ようにコードが構造化されている限り、検証をオフにしても問題ありません。

于 2009-02-12T17:00:16.297 に答える
0

FWIW、私も何年もの間 SecureIIS をインストールしてきましたが、これらの問題は経験していません。

于 2010-07-31T17:15:44.620 に答える