https://blog.csdn.net/bingtingabc/article/details/49148745
2015年10月15日 10:05:56 bingtingabc 阅读数:3397
什么是视图状态?
视图状态是指在 ASP.NET 应用程序的 WebForms (.aspx) 页面中往返的信息。__VIEWSTATE 字段的 HTML 标记如下所示:<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..."/>
例如,可以将按钮控件的文本存储在 __VIEWSTATE 字段中。如果用户单击该按钮,则 Button_Click 事件处理程序将能够从视图状态字段中提取该按钮的文本。有关 ASP.NET 视图状态的更详细概述,请参阅 Microsoft Developer Network (MSDN) 网站上的 ASP.NET 视图状态概述主题。
由于 __VIEWSTATE 字段包含用于在回发时重建页面的重要信息,因此请确保攻击者无法篡改此字段。如果攻击者提交恶意的 __VIEWSTATE 负载,则攻击者可能会诱骗应用程序执行本不会执行的操作。
若要避免此类篡改攻击,可以使用消息验证代码 (MAC) 来保护 __VIEWSTATE 字段。回发时,ASP.NET 会验证与 __VIEWSTATE 负载一起提交的 MAC。在 Web.config 文件中,应用程序 元素中指定了用于计算 MAC 的密钥。由于攻击者无法猜测 <machineKey> 元素的内容,因此也就无法在试图篡改 __VIEWSTATE 负载时提供有效的 MAC。ASP.NET 会检测到有效的 MAC 没有提供,并拒绝此恶意请求。 _________________________________________________________________________________________________________ 按照MSDN的标准说法:“对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状 态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证。”也就是说Asp.Net的很多加密, 都是依赖于machineKey里面的值,例如Forms 身份验证 Cookie、ViewState的加密。默认情况下, Asp.Net的配置是自己动态生成,如果单台服务器当然没问题,但是如果多台服务器负载均衡, machineKey还采用动态生成的方式,每台服务器上的machinekey值不一致,就导致加密出来的结果也不一 致,不能共享验证和ViewState,所以对于多台服务器负载均衡的情况,一定要在每台站点配置相同的 machineKey。
------------------------------------------------------------------------------------
查下MSDN就明白了,validationKey和decryptionKey的默认值是AutoGenerate,由系统随机生成密钥 ,如果在本地或者使用的是独立主机通常不会有什么问题,但是使用虚拟主机,一台服务器上有多个虚拟 主机存在时就会出现以上问题,MSDN中也特别指出不能在群集中使用 AutoGenerate应该指定固定的密钥 值,至此真相水落石出,立刻在web.config中添加关于machineKey的配置项,并手动设置其中的密钥值, 这里请注意,不同加密算法对于密钥的最大字符长度是不同的,在这里能够使用的有AES,DES,3DES, SHA1,MD5,我只知道DES的密钥字符长度为16,3DES长度为48,手动设置时密钥长度必须等于其最大长度 ,否则会出错!至于密钥的16进制值可以随便输入。 参考的matchineKey配置: <system.web>
<machineKey validation="3DES" validationKey="319B474B1D2B7A87C996B280450BB36506A95AEDF9B51211" decryptionKey="280450BB36319B474C996B506A95AEDF9B51211B1D2B7A87" decryption="3DES"/>
</system.web>
方案二 <pages validateRequest="false"/>改为: <pages enableEventValidation="false" viewStateEncryptionMode ="Never" /> 自我分析: 要么是两台服务器的文件不一致 添加上machineKey 后就可以解决访问的是同一个程序 <machineKey validationKey="90C28AC11E1522312CC38F3C650F8429C6C6F9C1CF0ADEE230911763106B0E" decryptionKey="9231F8824A9F9F1601B510F93D084A78B05BAA2907F3E723" decryption="3DES" validation="SHA1"/>
原文地址:https://www.cnblogs.com/kelelipeng/p/10767435.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。