禁用 ASP.NET 事件验证

Question

我们厌倦了在我们的网络应用程序中收到有关“无效的回发或回调参数”的异常。 什么情况会导致此错误？

在与用户交谈后，我们确定出现这种情况的一个可能原因是他们单击导致回发的内容，然后在初始回发完成之前单击其他内容。

禁用事件验证有什么危害？ 无论如何，我们安装了 SecureIIS 以提高安全性。

更新：在某些地方，我们使用Javascript来修改某些控件值，例如下拉列表选项（我们这样做是为了提供更好的用户体验 - 减少回发）。 这很可能会导致错误。 我们对所有用户输入进行了严格的编辑，因此我们将继续禁用 EventValidation。 谢谢你！

Answer 1

事件验证验证这些值没有被手动篡改，例如超出所涉及的控件允许的范围。 例如，如果您有一个下拉列表，其中包含三个选项 1、2 或 3...，如果用户（或恶意中间人）将值更改为 4，则验证将失败。

只要您在每个处理程序中进行自己的检查以确保传入值有效，并且您的代码的结构方式使得意外输入不会导致任何事情发生（最安全），那么关闭验证就可以了。