Укреплять найденные скрытые поля, когда я не указываю

Question

Сканирование Fortify говорит, что у меня есть скрытые поля.Я не указываю скрытый атрибут в моих полях, НО я использую MaskedEditExtender.Когда ответ возвращается на страницу с MaskedEditExtender, поле содержит скрытый атрибут.

<ajaxToolkit:MaskedEditValidator ID="MaskedEditValidator2" runat="server"
    ControlExtender="MaskedEditExtender2"
    ControlToValidate="txt_EndDate"
    IsValidEmpty="true"                                
    InvalidValueMessage="Date is invalid"                                
    Display="Dynamic"
    MaximumValue="01/01/2030"                                 
    MinimumValue="01/01/2000" 
    Font-Size="X-Small"/>

Это то, что возвращается в ответе.Вы можете видеть, что у него есть скрытый атрибут, и Fortify жалуется на это:

<input name="ctl00$ContentPlaceHolder1$txt_EndDate" type="text"
id="ctl00_ContentPlaceHolder1_txt_EndDate" class="DateTextBox" AutoComplete="off" style="width:90px;" />
<input type="hidden"
name="ctl00$ContentPlaceHolder1$MaskedEditExtender2_ClientState"
id="ctl00_ContentPlaceHolder1_MaskedEditExtender2_ClientState" />

…

Кроме того, поля __VIEWSTATEGENERATOR и __EVENTVALIDATION устанавливаются как скрытые в ответе.Могут ли они быть также скрыты?

Answer 1

В сканировании Fortify сказано, что у меня есть скрытые поля

, так что, поскольку Fortify жалуется, мы должны удалить их все?конечно, нет -
скрытые поля ввода необходимы по многим причинам во многих случаях

даже у этой страницы, которую вы смотрите сейчас, есть скрытые поля ввода ... все хорошо.Я не говорю, чтобы игнорировать сообщение, но проверяю, что это поля ввода от вас, а не от любого злоумышленника.

связанных ответов
Разъяснение __VIEWSTATE __EVENTVALIDATION __EVENTTARGET, __EVENTARGUMENT необходимо
CryptographicException: заполнение недопустимо и не может быть удалено, а проверка MAC состояния представления завершилась неудачно
Могут ли злонамеренные пользователи изменять представление состояния?