ビュー ステートの概要
ビュー ステートとは、ASP.NET アプリケーションの Web フォーム (.aspx) ページ間でラウンドトリップされる情報です。__VIEWSTATE フィールドの HTML マークアップは次のような形式です。
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..."/>
__VIEWSTATE フィールドに格納されるアイテムの 1 つの例としては、Button コントロールのテキストがあります。ユーザーがボタンをクリックすると、Button_Click イベント ハンドラーでは、ビュー ステート フィールドから Button のテキストを抽出できるようになります。ASP.NET ビュー ステートの概要の説明については、MSDN (Microsoft Developer Network) Web サイトの「ASP.NET ビュー ステートの概要」トピックを参照してください。
__VIEWSTATE フィールドにはポストバックでのページの再構築に使用される重要な情報が含まれているため、攻撃者がこのフィールドを改ざんできないようにします。攻撃者が悪意のある __VIEWSTATE ペイロードを送信した場合、攻撃者は、アプリケーションをトリックで操作し、他の手段では実行されない処理を実行させる可能性があります。
この種類の改ざんの攻撃を防止するため、__VIEWSTATE フィールドは MAC (Message Authentication Code) により保護されています。ポストバックが発生すると、ASP.NET は、__VIEWSTATE ペイロードと共に送信される MAC を検証します。MAC を計算するために使用されるキーは、Web.config ファイルにあるアプリケーションの
