禁用ASP.NET EventValidation

Question

我们厌倦了在我们的web应用程序中出现关于“无效回发或回调参数”的异常。导致此错误的场景是什么？

在与用户交谈后，我们确定了造成这种情况的一个可能原因是，当他们单击导致回发的内容时，然后在初始回发完成之前单击其他内容。

禁用事件验证的危害是什么？至于它的价值，我们已经安装了SecureIIS来增强安全性。

UPDATE：在某些地方，我们使用Javascript来修改某些控件值，比如下拉列表选项(我们这样做是为了获得更好的用户体验--减少回发)。这很可能导致错误。我们已经对所有用户输入进行了严格的编辑，因此我们将继续禁用EventValidation。谢谢!

Answer 1

事件验证验证这些值没有被手动篡改，例如在所涉及的控件允许的范围之外。例如，如果您有一个下拉列表，其中有三个选项1、2或3.如果用户(或恶意中间人)将值更改为4，验证将失败。

只要您在每个处理程序中进行自己的检查，以确保传入的值是有效的，并且您的代码的结构使意外输入不会导致任何事情发生(最安全)，您就可以关闭验证。

Answer 2

FWIW，我安装SecureIIS也有很多年了，而且没有经历过任何这样的问题。