Можно ли декодировать и, таким образом, подделать визуализированное поле _EVENTVALIDATION? Я нашел много информации о том, что она ДЕЛАЕТ, но не смог найти ничего, что действительно говорит о том, защищено ли само значение от взлома. Я попытался декодировать его с помощью base64 и вернул бред, поэтому я предполагаю, что он на самом деле зашифрован, но если кто-то точно знает и может это проверить, это было бы здорово.
Я знаю, что Viewstate не зашифрован (хотя вы можете установить его). Меня это не так интересует, я просто интересуюсь подтверждением событий.
Я нашел похожий вопрос: Можно ли декодировать EventValidation и ViewState в ASP.NET?, но, похоже, никто не дал конкретного ответа относительно поля проверки события.
Конкретный пример: у меня есть выпадающий список доступных отчетов, которые может запустить пользователь. Он заполняется некоторыми отчетами «участников», а также отчетами «Только для администратора», которые отображаются во время загрузки OnLoad, и добавляет их, только если пользователь является администратором. Когда страница отправляется обратно, могу ли я доверять процедуре проверки событий, чтобы она была безопасной и чтобы пользователь не вставлял отчет «только для администратора» в список допустимых значений, или я должен повторно проверить разрешения в своем обработчике обратной передачи, чтобы проверить пользователь может использовать выбранный отчет?