C# 为了破坏web应用程序，可以使用_VIEWSTATE和_EVENTVALIDATION进行研究吗？

我现在正在学习ASP.NET，我对uu VIEWSTATE和u EVENTVALIDATION有点困惑

是否有可能读取这两个项目的值，以了解应用程序的内部结构，并可能对其进行操作。例如，人们写道_VIEWSTATE包含关于元素属性的信息，这些元素不会通过回发发送回来，例如标签。难道不可能操纵应用程序中标签的值，使其显示错误的信息吗

是否有可能将_VIEWSTATE的值更改为更大的值，以便在将其发回服务器时，会增加解压缩和/或描述信息的严重开销，从而基本上造成DDOS

是的，如果您不使用机器密钥加密它。请阅读以下内容：

加密和ViewState MAC在这里很有帮助。请阅读以下内容：

是的，但是它只会对该客户端显示不正确。当您读取这些值以执行业务逻辑时，就会变得危险。一般来说，web应用程序从不信任来自客户端的信息。viewstate的值被散列，以尝试检测ASP.NET默认设置的修改，但仍可以由有足够意愿的人操纵

是的，它只是从客户那里收到的表单上的一个字段。因此，它可以被操纵

是，可以读取viewstate的值。它是base64编码的，这并不意味着它是加密的，所以要读取它的值，您只需将它从base64转换为UTF-8，就可以读取它的内容。将列出每个控件及其若干属性。关于操作内容，这是可能的，但很困难，因为内容在服务器端处理之前经过验证

是的，这是可能的，如果您的站点是攻击的目标，并且发送了大量的大型请求和大型ViewState，那么它将对服务器产生相应的影响

请看以下内容：

---

谢谢大家的好答案！