通过RepeaterCommandEventArgs提供给ItemCommand事件的CommandArgument可以被客户端伪造吗?
在我正在处理的代码库中,它保存要删除的条目的ID -它可能属于也可能不属于登录的用户。我想知道这个值在执行删除之前是否需要验证。
CommandArgument在html中找不到,也没有像输入值那样以纯文本形式发回,但它是ViewState的一部分(存储在一个隐藏字段中)。如果您不加密ViewState,或者有人可以解密它,那么它就可以被操纵。
有关强制ViewState加密的更多信息,请参阅以下链接之一:
- http://msdn.microsoft.com/en-us/library/aa479501.aspx (.NET2)
- http://msdn.microsoft.com/en-us/library/bb386448%28v=vs.100%29.aspx#SecuringViewState (net4)