Как правильно зашифровать Viewstate в веб-форме asp.net

Question

Я использую веб-сайт asp.net, который использует платформу 4.5, а сканер уязвимостей показывает viewstate как Unencrypted __VIEWSTATE parameter

Несмотря на то, что я использую машинный ключ, он все равно помечает его

 <machineKey validationKey="xxxxxxxxxxxx" decryptionKey="xxxxxxxxxxxx" validation="SHA1" decryption="AES" />

Так ли можно шифровать viewstate в веб-форме asp.net 4.5

Answer 1

Вы можете установить шифрование ViewState в узле pages в system.web Web.Config.

<system.web>  
  <pages viewStateEncryptionMode="Always" />  
</system.web> 

Подробнее: https://docs.microsoft.com/en-us/dotnet/api/system.web.ui.page.viewstateencryptionmode?redirectedfrom=MSDN&view=netframework-4.7.2#System_Web_UI_Page_ViewStateEncryptionMode