asp.net 事件验证
来源:互联网 发布:淘宝店可以转让给别人 编辑:程序博客网 时间:2024/04/30 13:58
__EVENTVALIDATION 隐藏字段是 ASP.NET 2.0 的新增安全措施。该功能可以阻止由潜在的恶意用户从客户端发送的未经授权的请求。为了确保每个回发和回调事件来自于所期望的用户界面元素,页将在事件中添加额外的验证层。页通常通过将请求的内容与 __EVENTVALIDATION 字段中的信息进行匹配,来验证未在客户端添加额外的输入域,并且该值是在服务器已知的列表中选择的。页将在生成期间创建事件验证字段,而这是最不可能获取该信息的时刻。 像视图状态一样,事件验证字段包含散列值以防止发生客户端篡改。
控件使用 ClientScriptManager 对象的 RegisterEventForValidation 方法存储自己的安全回发相关信息。每个控件还可能会注册它自己的唯一 ID,但这种情况十分少见。列表控件还会存储列表中的所有值。支持事件验证的服务器控件通常在其 IPostBackDataHandler 接口的实现中调用 ValidateEvent 方法。如果验证失败,将引发安全异常。
可以基于每个页启用和禁用事件验证;每个控件类都通过 SupportsEventValidation 属性来启用事件验证。目前,还不能在特定控件实例上启用或禁用事件验证。
事件验证是为了仅限输入一组已知值而设置的防卫屏障。它只是将安全防护提升到更高水平,但本身不会阻止脚本注入式的攻击。
如果在启用 AJAX 的应用程序的环境中使用事件验证,则可能造成问题。在这类应用程序中,某些客户端工作可以临时创建新的输入元素,因而可能会由于出现未知元素而导致下一个回发失败。最好的应对方法是,一旦可能就在服务器上生成所有用户界面,并使用级联样式表显示属性在客户端上隐藏它。这样,您要使用的任何用户界面都将注册到事件验证字段。如果编写自定义控件,则应当用 SupportsEventValidation 属性设置该控件,以启用此功能
- asp.net 事件验证
- asp.net中的按钮事件不触发页面验证控件
- ASP.NET手动触发页面验证控件事件
- ASP.NET 验证机制
- Asp.net验证码
- ASP.net 验证码
- ASP.NET验证码
- Asp.net验证码
- Asp.net验证码
- asp.net验证码
- asp.net 验证码
- ASP.NET 验证码
- ASP.NET 验证类
- Asp.Net Forms验证
- asp.net验证码
- ASP.NET 验证码
- ASP.NET验证控件
- asp.net验证码
- 转贴的一些基础资料
- 路径问题 解决 ${pageContext.request.contextPath}
- Sql Server 2005 中解决死锁的一种方式
- 正阳随想5:AJE PE(二),兄弟之老苏
- 日记8.25.2007
- asp.net 事件验证
- 俯卧撑
- 回发或回调参数无效
- 怎样认识理解语言和思维的关系?
- 有趣吧公开的一个api,详解与实例
- Living into Ubuntu...
- EJB3.0与Web Service
- 小兔子故事集锦
- SQL语句导入导出大全