我目前正在开发一个利用用户系统的 asp.net 应用程序我很好奇数据实际上是如何从客户端发送到服务器的。
似乎可以轻松跟踪正在发送的信息,因为它没有加密为哈希码或任何东西。这是普通的普通文本。
我使用了一个名为"SocketSniff"的应用程序来读取数据。
发回的数据似乎使用元素 ID 及其值存储在脚本管理器中。
您知道有什么方法可以避免脚本管理器显示元素内容吗?
我猜它与视图状态有关,但这根本不起作用。
我不是安全专家,但加密发送的数据和视图状态是两回事。当您通过互联网发送数据时,不仅会发送来自网络表单的数据,还会发送整个网络表单。(不使用javascript/AJAX)这只有在您使用证书时才会被加密。您可以轻松购买一个,而且不必昂贵。请注意,当您在谷歌浏览器中调试页面时(数据看起来没有加密),当您发送页面时,它会在后台加密。
视图状态用于存储数据和防止页面伪造。它不是100%防弹的。但是,如果该页面对黑客来说不是很有趣(这种努力通常不值得),我认为您不会为FBI,CIA或国际银行构建Web应用程序,所以不要担心。当您更改页面"HTML"并向不能具有(特定值)的元素添加值时。例如,Id。IIS发现了一个赝品。IIS 发送 ID 为 123 的页面,并在特定元素中返回 ID 为 456 的伪造页面。如果没有违规,这可能会导致 CRUD(创建、检索、更新或删除)操作。现在,IIS 看到伪造并向用户提供错误。
希望对您有所帮助。