asp.net – 恶意用户可以提交asp:Visible = False的按钮吗?

这样的按钮不会呈现给浏览器,因此恶意用户是否能够触发隐形按钮定义的操作?例如用
JavaScript调用WebForm_DoPostBackWithOptions? ASP.NET是否会接受看似由此按钮触发的POST,即使它没有呈现? 最佳答案 简短回答是的.

您(开发人员)始终确保从用户输入(在这种情况下是帖子)接收的数据有效.虽然说asp.net框架会为你做很多验证,比如“可疑的查看帖子值”.

即使您显示的页面没有提交按钮,也可以为Web端点构建帖子.

编辑

这将是security through obscurity的一个例子,通常不是最佳做法. Asp.Net“提交”按钮修改了一个名为__EVENTTARGET的隐藏表单字段.当确定按钮单击“事件”时,asp.net处理程序将检查此字段.如果攻击者知道事件目标的名称,则可以欺骗此值.

隐藏/显示UI元素有助于改善用户体验,但在执行任何业务操作之前,您应始终(在服务器上)验证用户输入.

点赞