我在我的一个网站上不断收到这样的错误。它往往会在一天中随机发生,在我不希望网站上有用户的夜晚期间。
它总是来自不同的 IP 地址
System.Web.HttpException: Invalid viewstate. at System.Web.UI.Page.DecryptStringWithIV(String s, IVType ivType) at System.Web.UI.Page.DecryptString(String s)
或者
System.Security.Cryptography.CryptographicException: Padding is invalid and cannot be removed. at System.Security.Cryptography.RijndaelManagedTransform.DecryptData(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount, Byte[]& outputBuffer, Int32 outputOffset, PaddingMode paddingMode, Boolean fLast) at System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount) at System.Security.Cryptography.CryptoStream.FlushFinalBlock() at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo) at System.Web.UI.Page.DecryptStringWithIV(String s, IVType ivType) at System.Web.UI.Page.DecryptString(String s)
它们发生在此页面中:
ScriptResource.axd?d=VVe1O4rzLSI9hB5nRzBXZxUYTQz6ylDTL9djGR
该站点使用 Ajax 并在 .NET 3 上运行。
这是有人试图入侵该网站吗?网站上的html有错误吗?
有任何想法吗?
最佳答案
我相信此错误是由您的 ViewState 使用过时的 ViewStateUserKey 解密引起的。
消除这些错误是一个两步过程:
Setting the ViewStateUserKey property can help you prevent attacks on your application from malicious users. It does this by allowing you to assign an identifier to the view-state variable for individual users so that they cannot use the variable to generate an attack. You can set this property to any string value, such as the user's session ID or the user's authenticated name.
你可以通过自己设置来做到这一点(可能在你的页面或基本页面的 Init 事件中):
if (Session["ViewStateUserKey"] == null)
{
Session["ViewStateUserKey"] = new Guid().ToString();
}
this.Page.ViewStateUserKey = Session["ViewStateUserKey"].ToString();
不,我不认为你被黑了。
关于.net - ScriptResource 错误 : am I being hacked?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/934462/