C# · 12月 26, 2021

c# – CryptographicException:填充无效,无法删除,并且viewstate MAC的验证失败

监控我的全局异常日志这个错误似乎是不可能删除,无论我做什么,我以为我终于摆脱了它,但它又回来了.您可以在 similar post here上看到错误的痕迹.

关于环境的注意事项:

IIS 6.0,.NET 3.5 SP1单服务器ASP.NET应用程序

已采取的步骤:

<system.web> <machineKey validationKey=”big encryption key” decryptionKey=”big decryption key” validation=”SHA1″ decryption=”AES” />

在我的页面基础我的所有页面

protected override void OnInit(EventArgs e) { const string viewStateKey = “big key value”; Page.ViewStateUserKey = viewStateKey; }

另外在页面的源代码中,我可以看到所有ASP.NET生成的隐藏字段都正确地位于页面的顶部.

解决方法 首先让我们从事实开始,这样的视图状态错误发生在PostBack上.

我也必须说,我已经做了所有的事情,每个人都建议做,以避免这个问题.而且我有单机,但是两个运行相同页面的池.

所以有人做一个动作,一个人,以太网,一些其他搜索机通过’点击’你的页面,或一些黑客尝试检查您的系统的问题…

我有类似的问题(很少但现有的),我终于发现人们试图攻击我的网页. (来自同一个IP我有和DOS攻击)

我修改了翻译视图状态的LoadPageStateFromPersistenceMedium()函数,并通过记录输入的具体内容和从什么IP …开始监视这些结果,看到视图状态是手动更改的,或者完全是空的.

错误的我只是把他重定向到同一页面…

这是我做的…

public abstract class BasePage : System.Web.UI.Page{ protected override object LoadPageStateFromPersistenceMedium() { try { .. return the base,or make here your decompress,or what ever… return base.LoadPageStateFromPersistenceMedium(); } catch (Exception x) { string vsString = Request.Form[__VIEWSTATE]; string cThePage = Request.RawUrl; …log the x.ToString() error… …log the vsString… …log the ip coming from… …log the cThePage… // check by your self for local errors Debug.Fail(“Fail to load view state ! Reason:” + x.ToString()); } // if reach here,then have fail,so I reload the page – maybe here you // can place somthing like ?rnd=RandomNumber&ErrorId=1 and show a message Responce.Redirect(Request.RawUrl,true); // the return is not used after the redirect return string.Empty; } }

第二个原因

现在还有一个原因可能会发生,原因是因为在__EVENTVALIDATION加载之前有一个人点击你的页面.

这个eventValidation被放在最后一个按钮上 – 即使asp.net找到了,如果你在页面上的许多地方或者按钮附近都有一些按钮,那么这个到页面的末尾.

所以即使你看到页面顶部的viewstate,那么验证?也许这没有加载 – 页面损坏?用户点击页面太快?

<input type=”hidden” name=”__EVENTVALIDATION” id=”__EVENTVALIDATION” … >

为了避免这种问题,我做了一个简单的javascript,我不让它按下按钮,除非这个输入已经加载!!!

再一次评论,__EVENTVALIDATION并不总是呈现!所以如果你做一个通用的解决方案,那么可能更安全,不要搜索这个领域,而是要做一个javascript技巧来检查整个页面是否被加载,或者你认为的其他内容.

这是jQuery的最终解决方案(请注意,如果eventvalidation存在,请检查pageLoad!).我把这放在我的主页上.

<script language=”javascript” type=”text/javascript”> function AllowFormToRun() { var MyEventValidation = $(“#__EVENTVALIDATION”); if(MyEventValidation.length == 0 || MyEventValidation.val() == “”){ alert(“Please wait for the page to fully loaded.”); return false; } return true; } </script>protected void Page_Load(object sender,EventArgs e){ // I do not kNow if Page can be null – just in case I place it. if (Page != null && Page.EnableEventValidation) { Form.Attributes[“onsubmit”] = “return AllowFormToRun();”; }}

您可以通过在页面的按钮附近放置测试.

<% System.Threading.Thread.Sleep(5000); %>

更新

今天我再次看到WebResource的这个消息,我发现是一个机器人获取页面,并使所有字符在小写的链接,包括参数,所以这是一个更多的原因,没有得到正确的编码字符串,并抛出一个像Padding这样的消息是无效的,不能被删除.

希望这能帮助你更多.