ASP.Net アプリケーションのビューステートが改ざんされているかどうかは、どうすればわかりますか?

Question

セキュリティについての議論の中で、私のチームの開発者が、ビューステートが改ざんされているかどうかを知る方法はないか尋ねました。恥ずかしながら、私は答えを知りませんでした。私は彼に、私が調べてみると言いましたが、ここにいる誰かに最初に答える機会を与えようと思いました。自動検証があることは知っていますが、イベント検証が有効になっていない場合に手動で検証する方法はありますか?

Answer 1

EnableViewStateMac ページ ディレクティブ

Answer 2

ViewState はデフォルトで MIME エンコードされ、MAC キー (マシンまたは web.config ファイルから) でハッシュ化されます。これにより、改ざん (例:デコードが爆発します)。必要に応じて、保護をさらに強化し、オーバーヘッドを軽減するために、ViewState を暗号化および圧縮することもできます。見る MS ビューステート そして コードプロジェクト.com

Answer 3

手動で行うこともできるかもしれませんが、すでに用意されているものと同じアルゴリズムを実装することになります。ページで ViewState 検証を無効にすることは一般に悪い考えです。