【发布时间】:2020-01-25 20:39:06
【问题描述】:
Fortify 扫描显示我有隐藏字段。我没有在我的字段上指定隐藏属性,但我确实使用了 MaskedEditExtender。当响应返回到带有 MaskedEditExtender 的页面时,该字段具有隐藏属性。
<ajaxToolkit:MaskedEditValidator ID="MaskedEditValidator2" runat="server"
ControlExtender="MaskedEditExtender2"
ControlToValidate="txt_EndDate"
IsValidEmpty="true"
InvalidValueMessage="Date is invalid"
Display="Dynamic"
MaximumValue="01/01/2030"
MinimumValue="01/01/2000"
Font-Size="X-Small"/>
这是响应中返回的内容。你可以看到它上面有 hidden 属性,而 Fortify 抱怨说:
<input name="ctl00$ContentPlaceHolder1$txt_EndDate" type="text"
id="ctl00_ContentPlaceHolder1_txt_EndDate" class="DateTextBox" AutoComplete="off" style="width:90px;" />
<input type="hidden"
name="ctl00$ContentPlaceHolder1$MaskedEditExtender2_ClientState"
id="ctl00_ContentPlaceHolder1_MaskedEditExtender2_ClientState" />
…
此外,__VIEWSTATEGENERATOR 和 __EVENTVALIDATION 字段在响应中设置为隐藏。这些也可以取消隐藏吗?
【问题讨论】:
-
隐藏字段有什么问题?您正在使用的 .net 框架将创建它需要的框架