防止使用ViewState？

Question

根据OWASP如果在ASP.NET应用程序中包含SessionID，则可以在ViewState应用程序中防止SessionID。从该条中：

Viewstate可以用作CSRF防御，因为攻击者很难伪造有效的Viewstate。伪造一个有效的Viewstate并不是不可能的，因为攻击者可以获得或猜测参数值是可行的。但是，如果将当前会话ID添加到ViewState中，则使每个Viewstate都是唯一的，从而对CSRF免疫。

如果您正在使用加密的SessionID，是否需要包含ViewState？恶意用户如何生成有效的加密ViewState？

Answer 1

如果您正在使用加密的SessionID，是否需要包含ViewState？恶意用户如何生成有效的加密ViewState？

恶意用户可以通过访问相关页面并提取值来生成有效的加密ViewState。如果会话ID不是ViewState值的一部分，则该值对所有会话都有效。

在Microsoft页面确保视图国的安全中也提到了这一点：

如果网站对用户进行身份验证，则可以在ViewStateUserKey事件处理程序中设置Page_Init属性，以便将页面的视图状态与特定用户关联起来。这有助于防止一次单击攻击，在这种攻击中，恶意用户从先前创建的页面创建具有视图状态的有效预填充网页。然后，攻击者诱使受害者单击使用受害者身份将页面发送到服务器的链接。设置ViewStateUserKey属性时，攻击者的身份将用于创建原始页的视图状态的哈希。当受害者被引诱重新发送页面时，由于用户键不同，散列值将有所不同。该页将失败验证，并将引发异常。必须将ViewStateUserKey属性设置为每个用户的唯一值，例如用户名或标识符。