Просто посмотрите, сможет ли кто-нибудь объяснить это дальше.ASP.NET Viewstate - поиск разъяснений о статье поддержки
В support article 829743 на microsoft.com, они говорят:
Если включить состояние представления MAC отличать от, а затем для управления, которые не HTML кодирования (например, контроль этикеток используют состояние представления), злоумышленники могут вмешиваться в данные состояния представления и могут помещать произвольные данные в состояние просмотра. Эти произвольные данные декодируются, а затем используются элементами управления, когда они отображают опубликованную страницу. В результате злоумышленники могут вставлять скрипт в приложение, если вы не работаете, чтобы предотвратить атаку. Например, злоумышленник может декодировать данные, вставлять скрипт в данные, где находится элемент управления Label, а затем ссылаться на него с веб-сайта. Любой, кто нажимает на ссылку, станет жертвой атаки с использованием сценария, которая может потенциально украсть их файлы cookie для проверки подлинности или идентификатор сеанса. Сценарий также может позволить злоумышленнику изменить данные состояния для элементов управления, которые используют состояние просмотра, и в результате могут произойти атаки конкретного приложения.
Это не имеет для меня никакого смысла. Почему элемент управления меткой или любой другой статический элемент управления, который никогда не изменяется и не взаимодействует с данными запроса HTTP, нуждается в представлении? Я думал, что только элементы управления формой будут использовать viewstate. Есть что-то, что мне не хватает? Если элемент управления меткой использует viewstate, то это перепутано, ИМХО. Просто ищите разъяснения, если кто-то может пролить свет. Может быть, это не слишком поздно, или у меня еще не было пива. Спасибо!
Спасибо, Дэвид! Эта перспектива помогает очистить его! Я склонен сосредоточиться на обслуживании HTTP-запросов в моих веб-приложениях и меньше на (что я считаю наворотом) вложениях и недостатках .NET. Следовательно, мое замешательство. Раньше я не думал об этом как о векторе атаки, не глядя на то, как элемент управления получает свое значение с точки зрения .NET. Thx снова! – Scott
@Scott Посмотрите на текст над значками, Аристос отвечает, Дэвид исправляет ошибку небольшого типа. – Aristos