¿Qué es el estado de la vista?
El estado de la vista es la información que viene y va entre las páginas de WebForms (.aspx) en una aplicación ASP.NET. El formato HTML para el campo __VIEWSTATE es similar al siguiente:
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..." />
Un ejemplo de un elemento que puede almacenarse en el campo __VIEWSTATE es el texto de un control de botón. Si un usuario hace clic en el botón, el controlador de eventos Button_Click podrá extraer el texto del botón del campo del estado de la vista. Consulte el tema Descripción general del estado de la vista ASP.NET en el sitio web de Microsoft Developer Network (MSDN) para obtener una descripción general más detallada del estado de la vista ASP.NET.
Ya que el campo __VIEWSTATE contiene información importante que se utiliza para reconstruir la página en el postback, asegúrese de que los atacantes no puedan alterar este campo. Si un atacante envió una carga __VIEWSTATE malintencionada, es posible que este engañe a la aplicación y realice una acción que, de lo contrario, no se habría realizado.
Para evitar este tipo de ataque de manipulación, el campo __VIEWSTATE se protege mediante un código de autenticación de mensajes (MAC). ASP.NET valida el MAC que se envía junto con la carga __VIEWSTATE cuando se produce el postback. La clave que se utiliza para calcular el MAC se especifica en el elemento