Is making an asp:Button control invisible enough to be sure users wonamp;#39;t be able to click it?(使asp:Button控件隐形到足以确保用户不会单击它吗?)
问题描述
我正在制作一个简单的网站,列出某个文件夹中的文件。如果用户具有管理员权限,则可以通过单击"删除"按钮删除文件。
在我的.aspx文件中,我有以下代码:
<asp:Button runat="server" Text="Delete" OnCommand="FileList_Delete"
CommandArgument='<%#Eval("FilePath")%>' Visible='<%CurrentUserIsAdmin()%>' />
因此,如果CurrentUserIsAdmin()
返回false
,则不会呈现该按钮。
该按钮的呈现方式如下:
<input type="submit" name="ctl00$ctl00$MainContent$LocalMainContent$FileList$ctrl0$ctl17" value="Delete" />
我的问题是,如果用户修改网页客户端,目的是点击这个看不见的按钮,我能保证这个方法不会受到已知代码的攻击吗?或者,我是否必须在代码隐藏中采取预防措施并验证用户在按钮单击事件中的权限?
推荐答案
是,只要您不关闭默认的WebForms安全功能,将按钮的Visible
属性设置为False就足以防止引发其Click
和Command
事件。
您可以通过向.aspx临时添加一个始终可见的<input>
元素,并使用与呈现的<asp:Button>
:
name
元素来轻松测试这一点
<input type="submit"
name="ctl00$ctl00$MainContent$LocalMainContent$FileList$ctrl0$ctl17"
value="Fake Delete" />
当真实的删除按钮不可见时,单击假删除按钮。您应该得到一个"无效的回发或回调参数。事件验证已启用."异常。
重要说明:
- 不要在挡路中将按钮的
Visible
属性设置为false,因为攻击者可能会绕过该检查。有关详细信息,请参阅this answer。 - 必须启用ASP.NET事件验证(默认情况下启用)。所以不要通过将
EnableEventValidation="False"
添加到@Page
指令或<pages enableEventValidation="false" />
添加到Web.config来将其关闭。 - 永远不要通过将
EnableViewStateMac="False"
添加到@Page
指令或<pages enableViewStateMac="false" />
添加到Web.config来禁用视图状态验证。This would allow an attacker to tamper with the hidden __EVENTVALIDATION field做其他的坏事。 - 如果选择从标准Button控件派生自定义Button服务器控件,请确保将
[SupportsEventValidation]
属性添加到派生类。 - 如果选择从头开始创建自定义Button服务器控件,请在适当的位置调用
RegisterForEventValidation
和ValidateEvent
。
这篇关于使asp:Button控件隐形到足以确保用户不会单击它吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
本文标题为:使asp:Button控件隐形到足以确保用户不会单击它吗?
基础教程推荐
- 如何在 IDE 中获取 Xamarin Studio C# 输出? 2022-01-01
- 将 XML 转换为通用列表 2022-01-01
- 为什么Flurl.Http DownloadFileAsync/Http客户端GetAsync需要 2022-09-30
- 如何激活MC67中的红灯 2022-01-01
- rabbitmq 的 REST API 2022-01-01
- SSE 浮点算术是否可重现? 2022-01-01
- MS Visual Studio .NET 的替代品 2022-01-01
- c# Math.Sqrt 实现 2022-01-01
- 有没有办法忽略 2GB 文件上传的 maxRequestLength 限制? 2022-01-01
- 将 Office 安装到 Windows 容器 (servercore:ltsc2019) 失败,错误代码为 17002 2022-01-01