enableeventvalidation

本文将讲述ASP.NET中EnableEventValidation属性的相关知识。
EnableEventValidation是ASP.NET中支持安全性的一个属性，用于防止Post传送数据中可能存在的跨站点请求伪造（XSRF）攻击。 它通过验证Post传送数据中的事件验证码来验证来自客户端的表单，从而使ASP.NET保持安全。 启用此功能后，ASP.NET会拒绝从服务器发往客户端的所有请求，包括：在客户端中更改的值，来自客户端的表单提交，以及JavaScript调用生成的表单提交等。
EnableEventValidation默认开启，可在页面的@Page属性或者web.config中的Page元素中设置，其中的值可以是True或False。 如果选择启用EventValidation属性，当客户端JSON对象中没有任何值时，服务器会抛出异常：“页面中检测到客户端指定的无效值”。 如果设置值为false，可避免该异常，但是可能会存在安全隐患。 所以，当需要开发一个安全可靠的ASP.NET程序时，建议不要禁用EnableEventValidation的属性。
总的来说，EnableEventValidation是ASP.NET中针对请求安全性攻击的一个有效方法，在开发安全可靠的ASP.NET程序时应当启用该属性，以保证服务器的安全性。