Обычный метод защиты от этого - проверка ваших входных данных на стороне сервера, где вредоносные клиенты ничего не могут сделать. Если вы видите на сервере недопустимое имя группы, вы можете просто вернуть страницу с таким текстом, вместо того, чтобы выполнять какую-либо обработку для действительного имени группы.
Если вы не ожидаете, что значения изменятся, вы можете сохранить данные либо в ViewState (который зашифрован), либо в Session (который хранится на сервере и недоступен для клиентов. )
Учитывая, что у вас есть кнопка для отправки этой информации, я думаю, что правильная проверка на стороне сервера - правильный путь.
Кроме того, если вы не защитили эту страницу, требуя аутентификации и авторизации, то вам, конечно же, следует сделать это, чтобы только пользователи, которым вы знакомы и которым доверяли, могли получить доступ к странице независимо от этого.