我目前正在解决 ASP.net 网站应用程序中的一些安全问题。
其中一个问题是 ViewState未加密。
所以我在 StackOverFlow 和其他地方检查了如何加密 viewState,我使用 <pages viewStateEncryptionMode="Always" /> 做到了这一点并像这样添加 3DES 机器 key <machineKey validation="3DES" />在 Web.config 中。
我想知道 "EnableViewStateMAC=true"也是强制性必要的吗?因为我在网上找到的一些建议解决方案中提到了这一点。
但是,在我的检查中,我发现即使没有这个加密也能正常工作。
[注意:我必须在应用程序级别 (Web.config) 进行这些更改,因为对单个页面进行更改不是此应用程序的实际解决方案。]
最佳答案
永远不要将 EnableViewStateMac 设置为 false,即使启用了加密。 MAC保证客户端不能恶意篡改ViewState的内容。 (加密本身不足以保证这一点;MAC 是必需的。)
EnableViewStateMac 属性将在产品的 future 版本中删除,因为没有正当理由将其设置为“false”。
关于c# - ASP.Net 网站中的 ViewStateEncryption 是否必须使用 EnableViewStateMAC=true?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14052249/