0
可以說我有一個按鈕(稱之爲btnDeleteUser)調用事件服務器端刪除用戶(可以稱之爲DeleteUser())。假設我只在該按鈕上設置了btnDeleteUser.Visible = true,如果該用戶是管理員,並且默認爲false。我的理解是,.Visible屬性讓按鈕不會呈現給用戶。黑客是否仍然可以通過欺騙POST數據來觸發DeleteUser()事件?或者.NET以某種方式捕獲?ASP.NET Web窗體事件安全
我覺得這裏最好的做法是做任何事情之前再次檢查DeleteUser()用戶的憑據,但我很好奇,如果這是擺在首位,甚至可能...
我使用ASP .NET 4.0 Web窗體(不是MVC)。