c# – CryptographicException:填充无效,无法删除,并且viewstate MAC的验证失败

前端之家收集整理的这篇文章主要介绍了c# – CryptographicException:填充无效,无法删除,并且viewstate MAC的验证失败前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
监控我的全局异常日志这个错误似乎是不可能删除,无论我做什么,我以为我终于摆脱了它,但它又回来了.您可以在 similar post here上看到错误的痕迹.

关于环境的注意事项:

IIS 6.0,.NET 3.5 SP1单服务器ASP.NET应用程序

已采取的步骤:

<system.web>
    <machineKey validationKey="big encryption key"
      decryptionKey="big decryption key"
      validation="SHA1" decryption="AES" />

在我的页面基础我的所有页面

protected override void OnInit(EventArgs e)
  {
    const string viewStateKey = "big key value";

    Page.ViewStateUserKey = viewStateKey;
  }

另外在页面的源代码中,我可以看到所有ASP.NET生成的隐藏字段都正确地位于页面的顶部.

解决方法

首先让我们从事实开始,这样的视图状态错误发生在PostBack上.

我也必须说,我已经做了所有的事情,每个人都建议做,以避免这个问题.而且我有单机,但是两个运行相同页面的池.

所以有人做一个动作,一个人,以太网,一些其他搜索机通过’点击’你的页面,或一些黑客尝试检查您的系统的问题…

我有类似的问题(很少但现有的),我终于发现人们试图攻击我的网页. (来自同一个IP我有和DOS攻击)

修改了翻译视图状态的LoadPageStateFromPersistenceMedium()函数,并通过记录输入的具体内容和从什么IP …开始监视这些结果,看到视图状态是手动更改的,或者完全是空的.

错误的我只是把他重定向到同一页面

这是我做的…

public abstract class BasePage : System.Web.UI.Page
{
    protected override object LoadPageStateFromPersistenceMedium()
    {
        try
        {
            .. return the base,or make here your decompress,or what ever...
            return base.LoadPageStateFromPersistenceMedium();            
        }
        catch (Exception x)
        {
            string vsString = Request.Form[__VIEWSTATE];
            string cThePage = Request.RawUrl;

            ...log the x.ToString() error...
            ...log the vsString...
            ...log the ip coming from...
            ...log the cThePage...

        // check by your self for local errors
            Debug.Fail("Fail to load view state ! Reason:" + x.ToString());
        }

        // if reach here,then have fail,so I reload the page - maybe here you
        // can place somthing like ?rnd=RandomNumber&ErrorId=1 and show a message
        Responce.Redirect(Request.RawUrl,true);        

        // the return is not used after the redirect
        return string.Empty;
    }    
}

第二个原因

现在还有一个原因可能会发生,原因是因为在__EVENTVALIDATION加载之前有一个人点击你的页面.

这个eventValidation被放在最后一个按钮上 – 即使asp.net找到了,如果你在页面上的许多地方或者按钮附近都有一些按钮,那么这个到页面的末尾.

所以即使你看到页面顶部的viewstate,那么验证?也许这没有加载 – 页面损坏?用户点击页面太快?

<input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" ... >

为了避免这种问题,我做了一个简单的javascript,我不让它按下按钮,除非这个输入已经加载!!!

再一次评论,__EVENTVALIDATION并不总是呈现!所以如果你做一个通用的解决方案,那么可能更安全,不要搜索这个领域,而是要做一个javascript技巧来检查整个页面是否被加载,或者你认为的其他内容.

这是jQuery的最终解决方案(请注意,如果eventvalidation存在,请检查pageLoad!).我把这放在我的主页上.

<script language="javascript" type="text/javascript">
    function AllowFormToRun()
    {
        var MyEventValidation = $("#__EVENTVALIDATION");

        if(MyEventValidation.length == 0 || MyEventValidation.val() == ""){
            alert("Please wait for the page to fully loaded.");
            return false;
        }

        return true; 
    }       
</script>

protected void Page_Load(object sender,EventArgs e)
{
    // I do not know if Page can be null - just in case I place it.
    if (Page != null && Page.EnableEventValidation)
    {
        Form.Attributes["onsubmit"] = "return AllowFormToRun();";
    }
}

您可以通过在页面的按钮附近放置测试.

<% System.Threading.Thread.Sleep(5000); %>

更新

今天我再次看到WebResource的这个消息,我发现是一个机器人获取页面,并使所有字符在小写的链接,包括参数,所以这是一个更多的原因,没有得到正确的编码字符串,并抛出一个像Padding这样的消息是无效的,不能被删除.

希望这能帮助你更多.

猜你在找的C#相关文章