EVENTVALIDATION字段可以篡改吗？

Question

有没有可能解码并篡改呈现的_EVENTVALIDATION字段？我找到了很多关于它做什么的信息，但找不到任何关于值本身是否受到保护以防止篡改的信息。我确实尝试过base64解码，但得到的结果是胡言乱语，所以我假设它实际上是加密的，但如果有人确定知道并能验证这一点，那就太棒了。

我知道Viewstate不是加密的(尽管你可以将其设置为加密)。我对此不感兴趣，我只对事件验证感兴趣。

我发现了一个类似的问题：Is it possible to decode EventValidation and ViewState in ASP.NET?，但似乎没有人有关于事件验证字段的具体答案。

具体的例子:我有一个用户可以运行的可用报告的下拉列表。它填充了一些"members“报告和一些"Admin only”报告，这些报告在OnLoad期间呈现，并且只有当用户是Admin时才会添加它们。当页面回发时，我是否可以相信事件验证例程是安全的，并且用户没有将“仅限管理员”报告注入到可接受的值列表中，或者我是否应该重新检查回发处理程序中的权限，以验证用户是否可以实际使用所选的报告？

Answer 1

首先，事件验证是针对XSRF的后盾保护，而不是针对恶意用户。

如果您想确保他们只能运行他们有权运行的报告，请检查他们在您运行报告时是否被允许运行该报告。

其次，事件验证数据被加密并具有MAC。它应该是很难篡改的。但是依赖它并不是解决你问题的正确方法。

Answer 2

如果你还没有关闭本机注入保护设置，那么如果有人试图编辑控件的值列表并将其发送回来，这将导致一个错误。