Wat is de weergavestatus?
De weergavestatus is informatie die wordt uitgewisseld tussen pagina's met webformulieren (.aspx) in een ASP.NET-toepassing. De HTML-opmaak voor het veld __VIEWSTATE ziet er ongeveer als volgt uit:
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..." />
Een voorbeeld van een item dat kan worden opgeslagen in het veld __VIEWSTATE, is de tekst van een knop. Als een gebruiker op de knop klikt, kan de gebeurtenishandler Button_Click de tekst van de knop ophalen uit het veld met de weergavestatus. Zie het onderwerp Overzicht van de weergavestatus van ASP.NET op de MSDN-website (Microsoft Developer Network) voor een gedetailleerd overzicht van de weergavestatus van ASP.NET.
Omdat het veld __VIEWSTATE belangrijke informatie bevat die wordt gebruikt om de pagina te reconstrueren bij het terugposten, moet u zorgen dat een aanvaller niet kan knoeien met dit veld. Als een aanvaller schadelijke inhoud voor __VIEWSTATE verzendt, kan de aanvaller de toepassing ertoe aanzetten een actie uit te voeren die anders niet zou worden uitgevoerd.
Om een dergelijke aanval te voorkomen, wordt het veld __VIEWSTATE beschermd door een MAC (Message Authentication Code). ASP.NET valideert de MAC die samen met de inhoud van __VIEWSTATE wordt verzonden wanneer een terugpostgebeurtenis plaatsvindt. De sleutel die wordt gebruikt om de MAC te berekenen, is opgegeven in het element
