未加密的 __VIEWSTATE

作者:vkvi 来源:ITPOW(原创) 日期:2023-4-24

搞安全的,说要给 ASP.NET 的 __VIEWSTATE 加密,不加密还定义为中危漏洞。

我是不认同一定要加密的

如果不加密就是漏洞,几十年了,微软就这么一直提供一个默认有漏洞的服务给你?

怎么加密?

web.config 中添加:

  <system.web>
   <machineKey validation="AES" />

也不一定是 AES,可参考:Machine Key | Microsoft Learn

相关文章