什么是基本的 ASP.NET 表单安全实践？

Question

假设我有一个带有一些禁用复选框的表单，因为登录的用户不应该能够检查它们。 我应该在哪里添加一些消毒安全措施以确保他们不会破解复选框并导致回发？

在页面中？ 数据库层？ 在数据库中？

我意识到这很可能是一个非常广泛的问题。

谢谢， 标记

Answer 1

如果您确实需要确保其安全，请跨所有层实施检查……至少从数据库和数据访问层开始。

Answer 2

我更喜欢尽可能让用户无法交互的东西完全不可见。 你无法破解你看不到的东西（我的意思不是隐藏在页面上，我的意思是服务器不会为未登录用户看不到的东西生成代码）。

也就是说，假设您需要使控件保持可见但禁用，我将在前端和后端添加代码来进行检查。 前端验证代码很容易受到黑客攻击，但是为使用该系统的用户提供快速验证反馈是件好事 - 然而，后端应该是真正的故障安全位置，以确保一切都符合预期并在提交更改之前进行最终检查。

不幸的是，有时这意味着您需要重复工作，但对于真正重要的事情，这是值得的。

Answer 3

ASP.NET 事件验证机制负责处理这个问题。 我想它从 2.0 就已经存在了。