事件验证 - Js Heavy 应用程序真的有必要吗

Question

这件事真的很令人震惊，我一直在考虑事件验证，这真的有必要吗？我正在研究避免事件验证的方法，以构建面向 Web 服务 javascript 的页面，其中根据 Web 服务数据加载下拉列表。我可以禁用页面的事件验证，但我想要一些关于谷歌、雅虎等巨头如何执行此类验证的见解（主要是您认为他们会如何做到这一点）。这些组织都是以公共为基础的，几乎所有服务都使用 Web 服务，严重依赖 ajax 来使事情变得更简单。

我应该如何验证这种情况下的发布值，事件验证是 已禁用。

Answer 1

事件验证确保在页面上触发的任何事件都可以从页面加载时的状态中触发。例如，如果按钮触发 Click 事件，则它会使用哈希算法检查该按钮是否存在于原始页面的 HTML 输出中。

事件验证的工作原理是将控件的 UniqueID 属性的哈希值与该控件的每个合法值的哈希值相结合。

这些哈希值存储在页面上的一个隐藏字段中，称为__EVENTVALIDATION。

这是 ASP.NET Web 窗体提供的故障安全机制，并且如果您以无状态方式正确编码应用程序，则没有必要。例如，如果您的应用程序仅允许某些用户删除文章，那么您的删除按钮事件处理程序最好在触发时检查该用户是否仍然有权删除该文章。不要依赖触发 Button Click 事件的事实来假设用户具有权限。

将此原则应用于应用程序的所有输入。手动检查从下拉列表、单选按钮、复选框等传递的值对于当前页面和状态的用户会话是否有效，并且不依赖 ASP.NET 事件体系结构来验证用户输入。当您确定这一点后，您可以安全地关闭事件验证。