Co to jest stan widoku?
Stan widoku to informacja wymieniana (w ramach rundy) między stronami WebForms (aspx) w aplikacji ASP.NET. Tagi HTML dla pola __VIEWSTATE przypominają następujące:
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="..." />
Przykładem elementu, który może być przechowywany w polu __VIEWSTATE jest tekst kontrolki przycisku (Button). Gdy użytkownik kliknie przycisk, program obsługi zdarzenia Button_Click będzie mógł wyodrębnić tekst przycisku z pola stanu widoku. Temat z omówieniem stanu widoku platformy ASP.NET w witrynie Microsoft Developer Network (MSDN) w sieci Web zawiera więcej szczegółów.
Pole __VIEWSTATE zawiera ważne informacje używane do ponownego konstruowania strony podczas ogłaszania zwrotnego, dlatego należy zadbać o to, aby osoba atakująca nie mogła go naruszyć. Osoba atakująca, która wysłała złośliwy ładunek pola __VIEWSTATE, może spowodować, że aplikacja wykona akcję, która w innej sytuacji nie zostałaby zrealizowana.
Aby zapobiec tego rodzaju atakom z naruszeniami, pole __VIEWSTATE jest chronione za pomocą kodu uwierzytelniania komunikatów (MAC, Message Authentication Code). Platforma ASP.NET potwierdza, że podczas ogłaszania zwrotnego wraz z ładunkiem __VIEWSTATE został przesłany kod MAC. Klucz służący do obliczenia kodu MAC jest określony w elemencie
