禁用 ASP.NET 事件验证

【问题标题】:Disabling ASP.NET EventValidation禁用 ASP.NET 事件验证
【发布时间】:2009-02-12 16:57:10
【问题描述】:

我们已经厌倦了在我们的网络应用程序中收到有关“无效回发或回调参数”的异常。什么情况会导致此错误?

在与用户交谈后,我们确定造成这种情况的一个可能原因是当他们单击导致回发的内容时,然后在初始回发完成之前单击其他内容。

禁用事件验证有什么危害?值得一提的是,我们安装了SecureIIS 以提高安全性。

更新:在某些地方,我们使用 Javascript 来修改某些控件值,例如下拉列表选项(我们这样做是为了提供更好的用户体验 - 减少回发)。这很可能导致错误。我们对所有用户输入进行了严格的编辑,因此我们将继续禁用 EventValidation。谢谢!

【问题讨论】:

    标签: .net asp.net eventvalidation


    【解决方案1】:

    事件验证验证值没有被手动篡改,例如超出所涉及的控制所允许的范围。例如,如果您有一个包含三个选项 1、2 或 3 的下拉列表...如果用户(或恶意中间人)将值更改为 4,则验证将失败。

    只要您自己检查每个处理程序以确保传入的值是有效的,并且您的代码的结构使得意外输入不会导致任何事情发生(最安全),您就可以使用验证关闭。

    【讨论】:

      【解决方案2】:

      FWIW,我也安装了 SecureIIS 多年,没有遇到任何这些问题。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2012-07-30
        • 2011-01-23
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode