【发布时间】:2010-04-15 13:07:10
【问题描述】:
我厌倦了包含
EnableViewStateMac="false"
在每一页。如何在全球范围内做到这一点?
【问题讨论】:
-
为了后代:通过禁用 ViewStateMAC,您允许客户端篡改 ViewState,因此您不能真正信任其中的任何数据。
【发布时间】:2010-04-15 13:07:10
【问题描述】:
您可以在<pages> element in the web.config 上禁用它,如下所示:
<configuration>
<system.web>
<pages enableViewStateMac="False" />
</system.web>
</configuration>
【讨论】:
-
不要这样做!这将在您的应用程序中引入一个安全漏洞(请参阅下面@has-altaiar 的评论)和此视频:vimeo.com/68390507
上面的答案向你解释了如何在 Web.Config 中设置它,但是看看 MSDN 你会看到它说什么here:
在生产网站中,此属性不应设置为 false, 即使应用程序或页面不使用视图状态。风景 状态 MAC 有助于确保其他 ASP.NET 功能的安全性 除了视图状态。
【讨论】: