开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何判断ASP.Net应用程序中的viewstate是否被篡改？

要判断ASP.Net应用程序中的ViewState是否被篡改，可以采用以下方法：

使用ViewStateUserKey属性：在ASP.Net应用程序中，可以使用ViewStateUserKey属性来生成一个随机密钥，并将其与ViewState一起存储。在后续的请求中，可以使用相同的密钥来验证ViewState是否被篡改。
使用MAC（消息认证码）：在ViewState中，可以使用MAC来验证数据是否被篡改。MAC是一种加密技术，可以确保数据的完整性和来源的可信度。在ASP.Net应用程序中，可以使用MAC来验证ViewState是否被篡改。
使用SSL（安全套接层）：SSL是一种加密技术，可以确保数据在传输过程中的安全性和完整性。在ASP.Net应用程序中，可以使用SSL来加密ViewState，以防止它被篡改。
使用加密算法：在ASP.Net应用程序中，可以使用加密算法来加密ViewState，以防止它被篡改。常用的加密算法包括AES、DES和3DES等。
使用验证码：在ASP.Net应用程序中，可以使用验证码来防止自动化攻击。验证码可以确保只有真正的用户才能访问应用程序。

总之，要判断ASP.Net应用程序中的ViewState是否被篡改，可以采用多种方法。在实际应用中，可以根据具体情况选择合适的方法来保护ViewState的安全性。

相关搜索:为什么ASP.NET Core3.1应用程序中的应用程序设置中的应用程序洞察LogLevel被忽略？在chisel中，如何判断模块的Bundle是否实际生成verilog 在UWP应用程序中由URI启动的应用程序是否也被沙箱保护？如何判断Flutter Desktop应用程序是否是当前活动/聚焦的窗口？如何判断HTML中的元素是否完整？如何判断Python中的序列元素是否包含问号？如何判断React中的文本字段是否已更改？如何判断STDIN是否连接到Perl中的终端？如何判断我的android应用程序是否需要登录进程？如何判断我的NSManagedObject是否驻留在只读NSPersistentStore中？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

.NET工作准备--04ASP.NET

（已过时） ASP.NET 1.开发基础 *asp.net以什么形式运行?.net宿主的概念，ISAPI的概念，ASP.NET基本运行机制; .net宿主的概念:CLR被实现为一个标准的COM服

05

ASP.Net ViewState的实现

选择自timmy3310的BlogViewState是.Net中提出的状态保存的一种新途C#

03

Asp.NET中常用的一些优化性能的方法

ASP.NET的缓存机制相比ASP有很大的改进，本文档除对常用优化方法进行总结介绍外，强调了如何使数据库

03

viewstate解密

看完之后,觉得能不用viewstate就不用,再者像这样viewstate[“a”]=”b”;这种简单的赋值是没有什么关系的,它生成的树是很小的,altas一定是用js修改了viewstate的,但方法肯定是加密再加密的,效率也应该很低.

03

.Net 反序列化之 ViewState 利用

.NET 相关漏洞中，ViewState也算是一个常客了。Exchange CVE-2020-0688，SharePoint CVE-2020-16952 中都出现过ViewState的身影。其实ViewState 并不算漏洞，只是ASP.NET 在生成和解析ViewState时使用ObjectStateFormatter 进行序列化和反序列化，虽然在序列化后又进行了加密和签名，但是一旦泄露了加密和签名所使用的算法和密钥，我们就可以将ObjectStateFormatter 的反序列化payload 伪装成正常的ViewState，并触发ObjectStateFormatter 的反序列化漏洞。

02

解决asp.net负载均衡时Session共享的问题

每个客户端在访问网站时，都会创建相应的Session，用来保存客户的状态信息，网站如果做了负载均衡，session共享是要做的，IIS对于session的存储有五种模式

02

C# .NET面试系列八：ADO.NET、XML、HTTP、AJAX、WebService（二）

如果你使用 JavaScript 的 fetch 函数发送 HTTP 请求，而观察到发送了两次请求，可能有几个常见的原因：

01

ASP.NET保持用户状态的九种选择

摘要：ASP.NET为保持用户请求之间的数据提供了多种不同的途径。你可以使用Application对象、cookie、hidden fields、Sessions或Cache对象，以及它们的大量的方法。决定什么时候使用它们有时很困难。本文将介绍了上述的技术，给出了什么时候使用它们的一些指导。尽管这些技术中有些在传统ASP中已经存在，但是有了.NET框架组件后该在什么时候使用它们发生了变化。为了在ASP.NET中保持数据，你需要调整从先前的ASP中处理状态中学习到的知识。

02

【译】ASP.NET应用程序和页面生命周期

一、此文是Code Project社区2010年4月ASP.NET板块的最佳文章，说明了此文的份量；

03

ASP.NET页面周期学习笔记之一

ASP.NET页面生命周期——理解：重中之重！！！ 1.基本概念：所谓的页面生命周期，指的是一个ASP.NET页面类对象从初始化到销毁经过的步凑过程； 2.大致步凑：（1）初始化：PreInit,Init,InitComplete （2）加载数据和页面：LoadState,ProcessPostData,PreLoad,Load,ProcessPostData(第二次)... （3）触发事件：ChangedEvents PostBackEvent （4）保存状态并呈现页面：SaveState,SaveStateComplete,Render 3.步凑详解： ProcessRequestMain-> PreInit-PerfromPreInit()->预初始化：准备初始化页面控件，设置皮肤； Init-InitRecursive(null)->页面对象初始化； InitComplete(OnInitComplete-EventArgs.Empty)->页面对象初始化完成：加载ViewState，还原控件状态，登记用户触发的事件； if(this.IsPostBack) { LoadState-LoadAllState()：加载ViewState->ProcessPostData-ProcessPostData(this._requestValueCollection,true)：还原控件状态 } ->PreLoad-OnPreLoad(EventArgs.Empty)->Load-LoadRecursive()-> if(this.IsPostBack) { ProcessPostData Second Try-ProcessPostData(this._leftoverPostData,false)->Raise ChangedEvents-RaiseChangedEvents()->Raise PostBackEvent -RaisePostBackEvent(this._requestValueCollection);):触发控件事件 } ->SaveStateComplete-OnSaveStateComplete(EventArgs.Empty)：保存页面和控件数据到ViewState-> Render->RenderControl(this.CreateHtmlTextWriter(this.Response.Output))：生成最终HTML代码

03

神秘APT组织锁定(IIS)Web服务器，擅长规避恶意软件检测

近日研究人员发现，在过去一年间，一个复杂的且极可能由国家民族支持的威胁行为者一直在利用面向公众的ASP.NET应用程序中的反序列漏洞来部署无文件恶意软件，从而危害一些主要的公共和私营组织。

04

ASP.NET MVC 与 ASP.NET Web Form 的介绍与区别

Controller：控制器通过Model 读取处理数据，通过View 将结果返回。

04

asp.net mvc实战-学习笔记(1)

Asp.net mvc 实战 Jeffrey Palermo Ben Scheirman Jimmy Bogard

02

常见 Datagrid 错误

Datagrid 控件是 Microsoft® ASP.NET 中功能最强、用途最广的 Web 控件之一，这一点已经得到了 ASP.NET 权威人士的认同。虽然 Datagrid 控件易于使用，但同样易于给使用者带来麻烦。以下是许多人所犯的一些错误，这些人包括从初学者到富有经验的 .NET 专家。您可以看到许多苦闷的使用者在 ASP.NET 新闻组和论坛就这些错误提出问题。遵循本文概述的相当简单的步骤，可以帮助您避免这些错误，并节约大量的开发时间。

02

ASP.NET ViewState之详解

ViewState的通用解释就是：是 ASP.NET 页中的存储库，可以存储必须在回发过程中保留的值。页框架使用视图状态在各个回发之间保存控件设置。在各个回发之间保存值，而不将这些值存储在会话状态或用户配置文件中，将信息存储在视图状态中，这样在下次将该页发送到服务器时，代码便可以在页加载事件过程中访问这些信息。

03

ASP.Net请求处理机制初步探索之旅 - Part 4 WebForm页面生命周期

开篇：上一篇我们了解了所谓的请求处理管道，在众多的事件中微软开放了19个重要的事件给我们，我们可以注入一些自定义的业务逻辑实现应用的个性化设计。本篇，我们来看看WebForm模式下的页面生命周期。

02

ASP.NET安全隐患的临时解决方法

前几天的一个安全会议上公布了一个ASP.NET中的安全隐患（在1.0至4.0的版本中均存在），黑客可以使用这个隐患获取到网站的web.config文件（往往保存了一些敏感信息，如数据库连接字符串等）以

08

ASP.Net WebForm温故知新学习笔记：二、ViewState与UpdatePanel探秘

开篇：经历了上一篇《aspx与服务器控件探秘》后，我们了解了aspx和服务器控件背后的故事。这篇我们开始走进WebForm状态保持的一大法宝—ViewState，对其刨根究底一下。然后，再对曾经很流行的ASP.Net AJAX方案中的利器—UpdatePanel这个神奇的区域一探究竟。

03

ASP.Net MVC开发基础学习笔记：一、走向MVC模式

在传统的WebForm模式下，我们请求一个例如http://www.aspnetmvc.com/blog/index.aspx的URL，那么我们的WebForm程序会到网站根目录下去寻找blog目录下的index.aspx文件，然后由index.aspx页面的CodeBehind文件(.CS文件)进行逻辑处理，其中或许也包括到数据库去取出数据(其中的经过怎样的BLL到DAL这里就不谈了)，然后再由index.aspx页面来呈现给用户。

03

程序员级别鉴定书（.NET面试问答集锦）

作为一个.NET程序员，应该知道的不仅仅是拖拽一个控件到设计时窗口中。就像一个赛车手，一定要了解他的爱车 – 能做什么不能做什么。本文参考Scott Hanselman给出的.NET问题列表，整理如下。包括WinForms，ASP.NET，XML以及C#和.NET基础相关的问题，有兴趣的自我检测一下吧～参考答案另附在文章末尾，由于水平有限，难免有谬误，欢迎指正。所有号称会写代码的人进程和线程之间的区别？什么是Windows服务，它的生命周期与标准的EXE程序有什么不同？ Windows单进程可寻址

07

ASP.Net Web Page深入探讨

这篇文章经典，看过之后大受启发。值得一看！看来ASP.NET跟JSP其实是一样的，本质上没区别，ASP.NET能做到的JSP一样可以做到，反之亦然。只不过ASP.NET的框架看起来先进一点，不过JSP也在发展，似乎也出现了类似ASP.NET的框架。一、服务器脚本基础介绍首先，我们先复习一下Web服务器页面的基本执行方式： 1、客户端通过在浏览器的地址栏敲入地址来发送请求到服务器端 2、服务器接收到请求之后，发给相应的服务器端页面（也就是脚本）来执行，脚本产生客户端的响应，发送回客户端 3、客户

07

ASP.Net MVC开发基础学习笔记：一、走向MVC模式

在传统的WebForm模式下，我们请求一个例如http://www.aspnetmvc.com/blog/index.aspx的URL，那么我们的WebForm程序会到网站根目录下去寻找blog目录下的index.aspx文件，然后由index.aspx页面的CodeBehind文件(.CS文件)进行逻辑处理，其中或许也包括到数据库去取出数据(其中的经过怎样的BLL到DAL这里就不谈了)，然后再由index.aspx页面来呈现给用户。

02

模块和处理程序之通过HttpModule和HttpHandler拦截入站HTTP请求执行指定托管代码模块

1、简介大多数情况下,作为一个asp.net web开发对整个web应用程序的控制是十分有限的,我们的控制往往只能做到对应用程序(高层面)的基本控制。但是,很多时候,我们需要能够低级层面进行交互,例如:Web服务器如何处理入站的出站的Http请求,这就需要找到与iis交互的方法! 在Asp.Net推出之前,为了获得IIS这个级别的控制,必须创建和扩展ISAPI扩展或过滤器,但是如果使用这个方法,必须具备C和C++的知识,并需要知道如何创建本机的Win32 Dll,所以为了解决这个问题,ASP.NET提供了

Validation of viewstate MAC failed 解决办法

大部分人都说是在页里或web.config里加EnableEventValidation="false" EnableViewStateMac="false" ViewStateEncryptionMode="Never" 这些属性的设置。但是这并不从根本上解决问题，相反这样做了反而更加不安全。为了解决问题我继续收集资料，不经意的发现了一个网页里讲到一个Blog系统从NET1.1升级到NET2后，之前所生成的所有cookies将会失效，因为NET2和NET1使用的machineKey不一样。哈哈，真是恍然

ASP.NET MVC随想录——锋利的KATANA

正如上篇文章所述那样，OWIN在Web Server与Web Application之间定义了一套规范（Specs），意在解耦Web Server与Web Application，从而推进跨平台的实现。若要真正使用OWIN规范，那么必须要对他们进行实现。目前有两个产品实现了OWIN规范——由微软主导的 Katana和第三方的Nowin。这篇文章，我主要关注还是Katana，由微软团队主导，开源到CodePlex上。可以在Visual Studio中输入命令：git clone https://git01

08

网站性能越来越差怎么办？

新的一年，你的老板或客户，是否曾和你抱怨公司的网站性能愈来愈差？网站大家都会写，自从有了Visua数据库

03

有关VIEWSTATE exploit在实战中的应用问题

相信大家都晓得过 CVE-2020-0688 ，由于部署完Exchange Server后使用了硬编码的 Machine Key ，从而导致篡改 ASP.NET Form 中的 VIEWSTATE 参数值打反序列化 RCE 。

02

ASP.NET MVC 1.0发布

Microsoft已经发布了ASP.NET Model-View-Controller (MVC) web框架1.0版，这是微软采用开源协议发布,并且同开发社区充分互动的一个产品,和ASP.NET Webform 1.0的发布完全不同，ASP.NET MVC自从RC版本开始就进入了稳定版本。在官方下载页面上对ASP.NET MVC这样描述道： ASP.NET MVC在现有的ASP.NET 3.5运行时的基础上提供了一个新的MVC框架。开发人员可以用MVC设计模式来构建Web应用，做到清晰的概念分离（

Asp.net页面生命周期

前言　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　本篇记录的是Asp.net页面生命周期，也就是管道模型的最末端HttpHandler的生命周期。（Page继承了IHttpHandler接口。想了解管道模型，请参考asp.net管道模型（管线模型）之一发不可收拾）。如有不足请大家指出^_^!! 本篇主要参考：ASP.NET编程模型之页面生命周期十一步详解 ASP.NET编程模型之ASP.NET页面生命周期图解　　　　　　　《亮剑.net 深入体验与实战精要》正文

08

ASP.Net WebForm温故知新学习笔记：一、aspx与服务器控件探秘

开篇：毫无疑问，ASP.Net WebForm是微软推出的一个跨时代的Web开发模式，它将WinForm开发模式的快捷便利的优点移植到了Web开发上，我们只要学会三步：拖控件→设属性→绑事件，便可以行走于天下。但这样真的就可以走一辈子吗？实际上，ASP.Net经常被喷的诟病就在于WebForm以及只会拖控件的ASP.Net程序员，往往大型互联网系统也没有采用WebForm的模式进行开发。但是，WebForm并不是一无是处，而是我们没有用好，还有很多东西我们知其然不知其所以然，现在我们就来对这些平时所不注意但又十分关键的东西一探究竟。

04

Application Session Cookie ViewState Cache Hidden 区别

ASP.NET中，有多种保存信息的对象，如：Application，Session，Cookie，ViewState、Cache等，它们有什么区别？应用环境是什么？

03

七天学会ASP.NET MVC (一)——深入理解ASP.NET MVC

系列文章七天学会ASP.NET MVC (一)——深入理解ASP.NET MVC 七天学会ASP.NET MVC (二)——ASP.NET MVC 数据传递七天学会ASP.NET MVC (三)—

06

.NET牛人应该知道些什么,我的回答

What Great .NET Developers Ought To Know (More .NET Interview Questions)

01

c#以POST方式模拟提交表单

这是我一年前写的一个用C#模拟以POST方式提交表单的代码，现在记录在下面，以免忘记咯。那时候刚学C#~忽忽。。很生疏。。代码看上去也很幼稚臃肿不堪 #region 内容添加函数(Contentinsert) public string Contentinsert(string bookID, string bookTitle, string bookContent,string taskUrl,string Ztagend) { string uriS

09

网页优化系列三：使用压缩后置viewstate

Asp.net中的服务器控件都启用了viewstate，虽然方便了开发人员，但页面大小及性能上确实有所影响，对于无需viewstate的控件及页面可以直接把控件或页面的viewstate禁用掉，但对于必须的viewstate我们可以采取另一种方式来处理——压缩。判断是否需要viewstate压缩准则是，内网系统不必考虑压缩（网速够快还闲着没事消耗服务器CPU资源干啥啊。。。），对外系统根据viewstate长度选择性进行压缩（当viewstate长度大于某个值时进行压缩，太短还压缩得不偿失哦。。。）

06

网页优化系列三：使用压缩后置viewstate

Asp.net中的服务器控件都启用了viewstate，虽然方便了开发人员，但页面大小及性能上确实有所影响，对于无需viewstate的控件及页面可以直接把控件或页面的viewstate禁用掉，但对于必须的viewstate我们可以采取另一种方式来处理——压缩。判断是否需要viewstate压缩准则是，内网系统不必考虑压缩（网速够快还闲着没事消耗服务器CPU资源干啥啊。。。），对外系统根据viewstate长度选择性进行压缩（当viewstate长度大于某个值时进行压缩，太短还压缩得不偿失哦。。。）

05

浅谈ASP.NET的Postback

说道ASP.NET的Postback，就得说Web Page的生命周期，但是Web Page的生命周期却不是三言两语就能够说得清楚的，所以在这里单纯站的编程的角度，撇开Web Page 的生命周期浅谈Postback。我们知道，无论是ASP.NET1.x,2.0，甚至是以后的版本，ASP.NET最终Render到Client端通过浏览器浏览的都是一样：一个单纯的HTML。Client通过Submit Form的方式将填入Form的数据提交给Server进行处理。我们现在来看看ASP.NET整个Postba

浅谈ASP.NET的Postback

说道ASP.NET的Postback，就得说Web Page的生命周期，但是Web Page的生命周期却不是三言两语就能够说得清楚的，所以在这里单纯站的编程的角度，撇开Web Page 的生命周期浅谈Postback。我们知道，无论是ASP.NET1.x,2.0，甚至是以后的版本，ASP.NET最终Render到Client端通过浏览器浏览的都是一样：一个单纯的HTML。Client通过Submit Form的方式将填入Form的数据提交给Server进行处理。我们现在来看看ASP.NET整个Postba

06

ASP.NET 2.0页面框架的几处变化

本文由来源 21aspnet，由 javajgs_com 整理编辑，其版权均为 21aspnet 所有，文章内容系作者个人观点，不代表 Java架构师必看对观点赞同或支持。如需转载，请注明文章来源。

03

.net页面生命周期

.net页面生命周期 (1)Page_Init();---初始化对象这一过程主要是初始化包括页面本身的所有控件，每次的页面载入就会执行一次初试过程，而在这里面访问到的也是控件的初始值。还有就是可以通过OnInit()来重载初试化事件 (2) LoadViewState---导入Viewstate数据在初试化事件后，在loadvireState事件中所有控件将获得他们的第一个属性ViewState属性，这个属性最终将被返回给服务器以判断这个页面是已经被用户访问完毕还是仍然在被用户所访问。也可重载load

07

ASP.NET管理状态的十种途径

HTTP协议是无状态的，ASP.NET提供了丰富的手段在页面之间管理状态。本文列举ASP.NET管理状态的十种途径。

01

Page.ClientScript.RegisterStartupScript() 方法「建议收藏」

Page.ClientScript.RegisterStartupScript() 方法与Page.ClientScript.RegisterClientScriptBlock() 方法

02

.NET、C#基础知识

学习是一个循序渐进的过程，作为一名.Net软件工程师我们需要学习和掌握的东西非常的多，本章主要是记录下前段时间面试中经常遇到的一些基础常识，这里只是大致的概括还有很多需要学习的东西需要不断的学习和积累。

01

windows IIS权限设置的方法

windows IIS权限经典设置教程根据最新的黑客攻击方法显示，如果在IIS的站点属性打开了“写入”权限，则被黑是轻而易举的事。而一般在我们使用时，要求大家打开网站所在文件夹的“写入”权限，很多用户以为是在IIS中打开，这是错误的，这样做的结果就是让黑客利用写入权限上传任意文件。IIS中的“写入权限”则一定要关闭!这样的设置已经可以确保数据库是可以更新，可以生成HTML，可以刷新JS文件等所有正常操作。

04

c#面试题汇总

下面的参考解答只是帮助大家理解，不用背，面试题、笔试题千变万化，不要梦想着把题覆盖了，下面的题是供大家查漏补缺用的，真正的把这些题搞懂了，才能“以不变应万变”。回答问题的时候能联系做过项目的例子是最好的，有的问题后面我已经补充联系到项目中的对应的案例了。

02

ASP.NET的最新安全漏洞Important: ASP.NET Security Vulnerability

微软在9月17号中午正式对外公布了ASP.NET平台下的安全漏洞，即Microsoft Security Advisory (2416728)。

01

ASP.NET 调味品：AJAX

Karl Seguin 适用于： AJAX（异步 JavaScript 和 XML） Microsoft AJAX.NET Microsoft ASP.NET 摘要：了解如何将 AJAX（异步 JavaScript 和 XML）用于您的 Microsoft ASP.NET 应用程序，使其互动性更强、响应更及时。下载本文的代码示例 AjaxASPNETCS.msi（使用 C# 语言）下载本文的代码示例 AjaxASPNETVB.msi（使用 Visual Basic 语言）本页内容简介什

05

初识Asp.Net MVC2.0【续】

之前写了点Asp.Net MVC的概念，没有实际上系统的介绍Asp.Net MVC开发方式与WebFrom 开发方式的区别。昨晚上看了访问自己blog的入口的搜索关键词大部分是冲着MVC来的，就有了冲动将自己浅薄的知识写在这里，供初学者有个浅显的认识。欢迎高手拍砖指导，希望能把一篇入门的文章写的尽善尽美。

03

ASP.NET MVC Framework 动态汇集

Scott Guthrie在ALT.NET会议中展示了ASP.NET MVC Framework，它的CTP版本将于今年年底放出。这个框架将支持以下特性：为Controller提供原生的TDD模型支持支持ASPX作为一种视图引擎（没有ViewState和Postback）提供接口以使用其他的视图引擎，如MonoRail 提供对Controller对象生成的IoC支持和依赖注入支持完全支持对URL和导航的控制整个框架的模块都可以插拔（plugga

05

CVE-2020-0688 exchange远程代码执行漏洞

Microsoft Exchange Server 2010 Service Pack 3

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭