Qu'est-ce qu'un état d'affichage ?
Un état d'affichage correspond à une information qui est échangée entre les pages Web Forms (.aspx) dans une application ASP.NET. Le balisage HTML pour le champ __VIEWSTATE est semblable à ce qui suit :
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..." />
Le texte d'un contrôle bouton constitue un exemple d'un élément susceptible d'être stocké dans le champ __VIEWSTATE. Si un utilisateur clique sur le bouton, le gestionnaire d'événements Button_Click pourra extraire le texte du contrôle bouton du champ d'état d'affichage. Consultez la rubrique Vue d'ensemble de l'état d'affichage ASP.NET sur le site web MSDN (Microsoft Developer Network) pour une présentation beaucoup plus détaillée de l'état d'affichage ASP.NET.
Le champ __VIEWSTATE contenant des informations importantes permettant de reconstruire la page en vue de sa publication, veillez à ce qu'un utilisateur malveillant ne falsifie pas ce champ. Si un utilisateur malveillant a envoyé une charge utile __VIEWSTATE malintentionnée, celui-ci pourrait tromper l'application en exécutant une action qu'il n'aurait sinon pas effectuée.
Pour éviter le risque de falsification, le champ __VIEWSTATE est protégé par un code d'authentification de message. ASP.NET valide le code d'authentification de message qui est envoyé avec la charge utile __VIEWSTATE lors d'une publication. La clé utilisée pour calculer le code d'authentification de message est spécifiée dans l'élément
