Comment savoir si viewstate dans une application ASP.Net a été falsifié?
https://stackoverflow.com/questions/68764
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Lors d’une discussion sur la sécurité, un développeur de mon équipe a demandé s’il existait un moyen de savoir si viewstate avait été falsifié. Je suis gêné de dire que je ne connaissais pas la réponse. Je lui ai dit que je le découvrirais, mais je pensais pouvoir donner à quelqu'un de l'occasion la possibilité de répondre en premier. Je sais qu'il existe une validation automatique, mais existe-t-il un moyen de le faire manuellement si la validation d'événement n'est pas activée?
La solution
Directive de page EnableViewStateMac
Autres conseils
ViewState est par défaut codé MIME et haché avec une clé MAC (provenant de la machine ou du fichier web.config), ce qui permet d’empêcher toute falsification (c’est-à-dire que le décodage explose). Vous pouvez également chiffrer et compresser ViewState si vous le souhaitez pour une protection supplémentaire et moins de surcharge, respectivement. Voir MS ViewState et CodeProject.com
Vous pourrez peut-être le faire manuellement, mais vous ne feriez que mettre en œuvre le même algorithme que celui qui existe déjà pour vous. Il est généralement déconseillé de désactiver la validation ViewState sur une page.
