在ASP.NET中，如何防止隐藏字段值被篡改

Question

我有一个带有几个下拉菜单的用户控件。每当根据新选择的值更改其中之一时，我都会使用 ajax 重新填充下拉列表。

这些下拉列表之一的值是我想要绑定到数据字段的用户控件的最终值。

问题是 ASP.NET 无法识别下拉列表的值，因为它们是在客户端生成的。因此，我使用了一个隐藏字段，每当在下拉列表中选择一个值时，我都会将该值放入隐藏字段中，然后返回隐藏字段的值作为用户控制值，一切正常，除了

我担心用户可能会将该隐藏字段的值篡改为非法值。 有更好的方法吗？

Answer 1

如果您绑定到选择，用户也可以篡改这些值。只需验证隐藏字段，就像验证任何其他输入一样。并且不用担心漂亮的反馈，如果值超出范围，只需抛出异常即可。如果有人试图篡改你的表单，谁会在乎他是否会犯下丑陋的错误。

我想更简洁地回答你的问题：你无法阻止客户端的篡改，你所能做的就是验证 - 服务器端

Answer 2

始终验证服务器端的所有输入，添加客户端验证主要是为了向用户发出指示并防止不必要的往返。

Answer 3

您应该在服务器端验证所有客户端输入，无论您可以使用什么客户端验证。来自客户端页面的输入可以通过许多不同的方式被篡改，并且应该被视为不可信。

理想的安全实践是验证每个级别的输入，就好像来自前一级别的数据来自不受信任的来源一样。这意味着在客户端级别、服务器级别和 SQL 级别进行验证。