Что такое состояние вида?
Состояние вида — это данные, связанные между страницами веб-форм (ASPX) в приложении ASP.NET. Разметка HTML для поля __VIEWSTATE имеет следующий вид:
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..." />
Например, одним из элементов, которые может содержать поле __VIEWSTATE, является текст кнопки. Если пользователь нажмет кнопку, обработчик события Button_Click извлекает текст кнопки из поля состояния просмотра. Более подробное описание состояния просмотра ASP.NET см. в разделе Обзор состояния просмотра ASP.NET на веб-сайте MSDN (Microsoft Developer Network).
Поскольку поле __VIEWSTATE содержит важные сведения для воссоздания страницы с обратной передачей, убедитесь, что злоумышленник не имеет доступа к этому полю. Если злоумышленник подал полезные данные вредоносного поля __VIEWSTATE, он потенциально может обмануть приложение, выполнив действие, которое в противном случае не было бы выполнено.
Для предотвращения мошеннических атак такого типа поле __VIEWSTATE защищено кодом проверки подлинности сообщения (MAC). При обратной передаче ASP.NET подтверждает код MAC, который подается вместе с полезными данными __VIEWSTATE. Ключ, используемый для вычисления кода MAC, указан в разделе приложения
