使asp：Button控件隐形到足以确保用户不会单击它吗？ [英] Is making an asp:Button control invisible enough to be sure users won't be able to click it?

问题描述

我正在制作一个简单的网站，列出某个文件夹中的文件。如果用户具有管理员权限，则可以通过单击"删除"按钮删除文件。

在我的.aspx文件中，我有以下代码：

<asp:Button runat="server" Text="Delete" OnCommand="FileList_Delete"
            CommandArgument='<%#Eval("FilePath")%>' Visible='<%CurrentUserIsAdmin()%>' />

因此，如果CurrentUserIsAdmin()返回false，则不会呈现该按钮。

该按钮的呈现方式如下：

<input type="submit" name="ctl00$ctl00$MainContent$LocalMainContent$FileList$ctrl0$ctl17" value="Delete" />

我的问题是，如果用户修改网页客户端，目的是点击这个看不见的按钮，我能保证这个方法不会受到已知代码的攻击吗？或者，我是否必须在代码隐藏中采取预防措施并验证用户在按钮单击事件中的权限？

推荐答案

是，只要您不关闭默认的WebForms安全功能，将按钮的Visible属性设置为False就足以防止引发其Click和Command事件。

您可以通过向.aspx临时添加一个始终可见的<input>元素，并使用与呈现的<asp:Button>：

相同的name元素来轻松测试这一点

<input type="submit"
       name="ctl00$ctl00$MainContent$LocalMainContent$FileList$ctrl0$ctl17"
       value="Fake Delete" />

当真实的删除按钮不可见时，单击假删除按钮。您应该得到一个"无效的回发或回调参数。事件验证已启用."异常。

重要说明：

• 不要在挡路中将按钮的Visible属性设置为false，因为攻击者可能会绕过该检查。有关详细信息，请参阅this answer。
• 必须启用ASP.NET事件验证(默认情况下启用)。所以不要通过将EnableEventValidation="False"添加到@Page指令或<pages enableEventValidation="false" />添加到Web.config来将其关闭。
• 永远不要通过将EnableViewStateMac="False"添加到@Page指令或<pages enableViewStateMac="false" />添加到Web.config来禁用视图状态验证。This would allow an attacker to tamper with the hidden __EVENTVALIDATION field做其他的坏事。
• 如果选择从标准Button控件派生自定义Button服务器控件，请确保将[SupportsEventValidation]属性添加到派生类。
• 如果选择从头开始创建自定义Button服务器控件，请在适当的位置调用RegisterForEventValidation和ValidateEvent。

这篇关于使asp：Button控件隐形到足以确保用户不会单击它吗？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！