Eri*_*ric 3 asp.net security validation
是否可以解码并因此篡改渲染的_EVENTVALIDATION字段?我发现了很多关于它的内容的信息,但是找不到任何真正说明价值本身是否受到保护以防止篡改的信息.我确实试图对它进行base64解码并得到乱码,所以我假设它实际上是加密的,但如果有人确切知道并且可以验证,那就太棒了.
我知道Viewstate没有加密(虽然你可以设置它).我对此不感兴趣,我只对事件验证感兴趣.
我发现了一个类似的问题:是否可以在ASP.NET中解码EventValidation和ViewState?但似乎没有人对事件验证字段有具体的答案.
具体示例:我有一个用户可以运行的可用报告的下拉列表.它填充了一些"成员"报告,但也包含一些在"OnLoad"期间呈现的"仅管理员"报告,并且只有在用户是管理员时才会添加它们.当页面回发时,我是否可以信任事件验证例程是安全的,并且用户没有将"仅管理员"报告注入可接受值列表中,或者我应该在我的回发处理程序中重新检查权限以验证用户实际上可以使用所选的报告吗?
首先,事件验证是针对XSRF的后备保护,而不是针对恶意用户.
如果要确保它们只能运行允许运行的报告,请检查它们是否允许在运行报告时运行报告.
其次,事件验证数据被加密并具有MAC.篡改应该很难.但依靠它不是解决问题的正确方法.
| 归档时间: |
|
| 查看次数: |
2099 次 |
| 最近记录: |