关于环境的注意事项:
IIS 6.0,.NET 3.5 SP1单服务器ASP.NET应用程序
已采取的步骤:
- <system.web>
- <machineKey validationKey="big encryption key"
- decryptionKey="big decryption key"
- validation="SHA1" decryption="AES" />
- protected override void OnInit(EventArgs e)
- {
- const string viewStateKey = "big key value";
- Page.ViewStateUserKey = viewStateKey;
- }
解决方法
我也必须说,我已经做了所有的事情,每个人都建议做,以避免这个问题.而且我有单机,但是两个运行相同页面的池.
所以有人做一个动作,一个人,以太网,一些其他搜索机通过’点击’你的页面,或一些黑客尝试检查您的系统的问题…
我有类似的问题(很少但现有的),我终于发现人们试图攻击我的网页. (来自同一个IP我有和DOS攻击)
我修改了翻译视图状态的LoadPageStateFromPersistenceMedium()函数,并通过记录输入的具体内容和从什么IP …开始监视这些结果,看到视图状态是手动更改的,或者完全是空的.
这是我做的…
- public abstract class BasePage : System.Web.UI.Page
- {
- protected override object LoadPageStateFromPersistenceMedium()
- {
- try
- {
- .. return the base,or make here your decompress,or what ever...
- return base.LoadPageStateFromPersistenceMedium();
- }
- catch (Exception x)
- {
- string vsString = Request.Form[__VIEWSTATE];
- string cThePage = Request.RawUrl;
- ...log the x.ToString() error...
- ...log the vsString...
- ...log the ip coming from...
- ...log the cThePage...
- // check by your self for local errors
- Debug.Fail("Fail to load view state ! Reason:" + x.ToString());
- }
- // if reach here,then have fail,so I reload the page - maybe here you
- // can place somthing like ?rnd=RandomNumber&ErrorId=1 and show a message
- Responce.Redirect(Request.RawUrl,true);
- // the return is not used after the redirect
- return string.Empty;
- }
- }
第二个原因
现在还有一个原因可能会发生,原因是因为在__EVENTVALIDATION加载之前有一个人点击你的页面.
这个eventValidation被放在最后一个按钮上 – 即使asp.net找到了,如果你在页面上的许多地方或者按钮附近都有一些按钮,那么这个到页面的末尾.
所以即使你看到页面顶部的viewstate,那么验证?也许这没有加载 – 页面损坏?用户点击页面太快?
- <input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" ... >
为了避免这种问题,我做了一个简单的javascript,我不让它按下按钮,除非这个输入已经加载!!!
再一次评论,__EVENTVALIDATION并不总是呈现!所以如果你做一个通用的解决方案,那么可能更安全,不要搜索这个领域,而是要做一个javascript技巧来检查整个页面是否被加载,或者你认为的其他内容.
这是jQuery的最终解决方案(请注意,如果eventvalidation存在,请检查pageLoad!).我把这放在我的主页上.
- <script language="javascript" type="text/javascript">
- function AllowFormToRun()
- {
- var MyEventValidation = $("#__EVENTVALIDATION");
- if(MyEventValidation.length == 0 || MyEventValidation.val() == ""){
- alert("Please wait for the page to fully loaded.");
- return false;
- }
- return true;
- }
- </script>
- protected void Page_Load(object sender,EventArgs e)
- {
- // I do not know if Page can be null - just in case I place it.
- if (Page != null && Page.EnableEventValidation)
- {
- Form.Attributes["onsubmit"] = "return AllowFormToRun();";
- }
- }
您可以通过在页面的按钮附近放置测试.
- <% System.Threading.Thread.Sleep(5000); %>
更新
今天我再次看到WebResource的这个消息,我发现是一个机器人获取页面,并使所有字符在小写的链接,包括参数,所以这是一个更多的原因,没有得到正确的编码字符串,并抛出一个像Padding这样的消息是无效的,不能被删除.
希望这能帮助你更多.
