那些遇到过的问题

是否可以使Page.IsPostBack独立于ASP.net而变为真?

Jez*_*Jez 5 asp.net security webforms

如果正在检查用户的角色以确定他们是否可以访问页面,那么将此检查仅安排在一个页面内是否安全if (!Page.IsPostBack) { ... }?难道是可能的客户,使Page.IsPostBack == true独立的ASP.net; 也就是说,客户端POST到页面并设置正确的表单字段?如果可能,那么我认为最好的做法是检查每个页面加载的安全性,而不仅仅是何时Page.IsPostBack == false.

Jez*_*Jez 0

对所有已经回答的人表示抱歉,但我不同意仅检查块内的安全授权Page.IsPostBack == false必然是不安全的(只要事件验证和加密视图状态打开)。我已经解释了为什么我在这里这么认为,但简短的答案是:我认为您不能在不首先将页面加载到非回发上下文中以获取视图状态和事件验证表单字段的情况下欺骗页面的回发。返回的视图状态字段将导致您隐藏在块内的内容Page.IsPostBack == false在使用该视图状态的任何回发中保持隐藏状态,并且由于视图状态已加密,因此无法篡改。

归档时间:

查看次数:

2425 次

最近记录:

10 年,10 月 前
Page.IsPostBack的安全实现? 5
更多相关链接
相关归档
在iis 7.0上运行.net framework 4.0网站时出现问题 119
ASP.NET Core Web API身份验证 74
此处不允许相对虚拟路径'' 60
我应该如何将敏感环境变量传递给Amazon ECS任务? 15
在发布/部署期间将DateTime.Now插入Web.Config 10
将Active Directory与我的应用程序同步 9
了解会话保存路径没有价值和安全性 7
在网站上发现奇怪的index.php 7
在太多登录尝试后实施禁止的最佳方式 6
在企业应用程序中禁止jQuery的策略是否有意义? 4
难疑归档
如何列出目录的所有文件? 3474
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何在Python中复制文件? 2171
Make .gitignore会忽略除少数文件之外的所有内容 1531
JavaScript发布请求,如表单提交 1465
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
Python的隐藏功能 1419
如何在HTTP POST请求中发送参数? 1396
如何撤消"git commit --amend"而不是"git commit" 1198
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158