客户端可以伪造通过 RepeaterCommandEventArgs 提供给 ItemCommand 事件的 CommandArgument 吗?
在我正在处理的代码库中,它保存要删除的条目的 ID - 该条目可能属于也可能不属于登录用户。我想知道在执行删除之前该值是否需要验证。
最佳答案
CommandArgument 在 html 中找不到,也不像输入值那样以纯文本形式发回,但它是 ViewState 的一部分(存储在隐藏字段中)。如果您不加密 ViewState,或者有人可以解密它,那么它就可以被操纵。
有关强制 ViewState 加密的更多信息,请参阅以下链接之一:
关于asp.net - CommandArgument(与 ASP.NET Repeater 一起使用)是否需要验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16846597/