La définition de ViewStateUserKey me donne une erreur «Validation de l'état MAC de viewstate»

J'ai la suite dans ma BasePage classe toutes mes pages ASPX proviennent de:

protected override void OnInit(EventArgs e)
{
    base.OnInit(e);
    ViewStateUserKey = Session.SessionID;
}

J'ai aussi un machineKey ensemble dans Web.config. Je ne pense pas que cette erreur est à cause d'une batterie de serveurs web, car ce qui se passe sur ma machine de dev.

Mon hôte a maintenant mis à niveau .NET 3.5 SP1. Après cette mise à jour, chaque fois que je compile avec le ViewStateUserKey réglage ci-dessus, je ne cesse de recevoir de la "Validation de MAC viewstate d'erreur" echec de chaque publication.

Ce que je fais mal? Est ce paramètre, même plus nécessaire avec la dernière mise à jour de framework?

source d'informationauteur Druid

  1. 14

    OK - je suis une année fin de la conversation - mais comment est-ce la bonne réponse? Cela s'applique uniquement dans le cas des utilisateurs authentifiés à l'aide de la ViewStateUserKey que le nom d'utilisateur est beaucoup plus facile de deviner qu'un id de session GUID.

    BTW, si vous voulez régler le code de dessus, utilisez l'ID de Session, cependant, vous devez définir une variable de session pour que l'id de session pour arrêter de changer à chaque fois. Ex.
    Session["Anything"] = DateTime.Now

    ViewStateUserKey = Session.SessionID;

    C'est bien sûr en supposant que vous allez utiliser les sessions, sinon vous avez besoin d'un clé à utiliser comme le nom d'utilisateur ou de toute autre guid conservés dans un cookie.

  2. 10

    J'ai cherché un peu pour trouver la cause définitive de la question.
    Ce post à partir de Microsoft a vraiment aidé à comprendre les différentes causes.
    http://support.microsoft.com/kb/2915218
    Cause 4 est ce que nous avons atterri sur ce qui n'est pas valide ViewStateUserKeyValue

    Réglage ViewStateUserKey à la Session.Id de session ou de l'Utilisateur.L'identité.Le nom n'a pas de travail pour nous.

    Nous par intermittence eu l'erreur de validation pour les raisons suivantes.
    Lorsque le pool d'applications est réinitialisé par IIS, la session est renouvelé en effet l'origine de l'erreur.
    Nous laissons tomber la Session lors de la connexion, pour éviter la fixation de session, ce qui entraîne également l'erreur lors de la connexion.

    Ce qui a finalement fonctionné pour nous a été un témoin en fonction de la solution, qui est actuellement prévu dans VS2012.

    public partial class SiteMaster : MasterPage
{
private const string AntiXsrfTokenKey = "__AntiXsrfToken";
private const string AntiXsrfUserNameKey = "__AntiXsrfUserName";
private string _antiXsrfTokenValue;
protected void Page_Init(object sender, EventArgs e)
{
//First, check for the existence of the Anti-XSS cookie
var requestCookie = Request.Cookies[AntiXsrfTokenKey];
Guid requestCookieGuidValue;
//If the CSRF cookie is found, parse the token from the cookie.
//Then, set the global page variable and view state user
//key. The global variable will be used to validate that it matches in the view state form field in the Page.PreLoad
//method.
if (requestCookie != null
&& Guid.TryParse(requestCookie.Value, out requestCookieGuidValue))
{
//Set the global token variable so the cookie value can be
//validated against the value in the view state form field in
//the Page.PreLoad method.
_antiXsrfTokenValue = requestCookie.Value;
//Set the view state user key, which will be validated by the
//framework during each request
Page.ViewStateUserKey = _antiXsrfTokenValue;
}
//If the CSRF cookie is not found, then this is a new session.
else
{
//Generate a new Anti-XSRF token
_antiXsrfTokenValue = Guid.NewGuid().ToString("N");
//Set the view state user key, which will be validated by the
//framework during each request
Page.ViewStateUserKey = _antiXsrfTokenValue;
//Create the non-persistent CSRF cookie
var responseCookie = new HttpCookie(AntiXsrfTokenKey)
{
//Set the HttpOnly property to prevent the cookie from
//being accessed by client side script
HttpOnly = true,
//Add the Anti-XSRF token to the cookie value
Value = _antiXsrfTokenValue
};
//If we are using SSL, the cookie should be set to secure to
//prevent it from being sent over HTTP connections
if (FormsAuthentication.RequireSSL &&
Request.IsSecureConnection)
responseCookie.Secure = true;
//Add the CSRF cookie to the response
Response.Cookies.Set(responseCookie);
}
Page.PreLoad += master_Page_PreLoad;
}
protected void master_Page_PreLoad(object sender, EventArgs e)
{
//During the initial page load, add the Anti-XSRF token and user
//name to the ViewState
if (!IsPostBack)
{
//Set Anti-XSRF token
ViewState[AntiXsrfTokenKey] = Page.ViewStateUserKey;
//If a user name is assigned, set the user name
ViewState[AntiXsrfUserNameKey] =
Context.User.Identity.Name ?? String.Empty;
}
//During all subsequent post backs to the page, the token value from
//the cookie should be validated against the token in the view state
//form field. Additionally user name should be compared to the
//authenticated users name
else
{
//Validate the Anti-XSRF token
if ((string)ViewState[AntiXsrfTokenKey] != _antiXsrfTokenValue
|| (string)ViewState[AntiXsrfUserNameKey] !=
(Context.User.Identity.Name ?? String.Empty))
{
throw new InvalidOperationException("Validation of
Anti-XSRF token failed.");
}
}
}
}

    Source

  3. 4

    J'ai corrigé pour l'instant en modifiant le code:

    protected override void OnInit(EventArgs e)
{
base.OnInit(e);
if (User.Identity.IsAuthenticated)
ViewStateUserKey = User.Identity.Name;
}
  4. 3

    Pouvez-vous désactiver le ViewState MAC encodage avec le EnableViewStateMac @attribut de la Page?

  5. 1

    TRÈS Étrange, j'ai moi aussi eu le même problème depuis 3 jours et maintenant j'ai résolu.
    1. J'avais activé l'authentification de formulaires et avait ssl faux

    <forms defaultUrl="~/" loginUrl="~/Account/Login.aspx" requireSSL="false" timeout="2880" />

    1. mais dans mon httpcookies tag que j'avais requireSSL=true. Depuis le Site.Maître.cs c'utilise des cookies pour définir la ViewStateUserKey, c'était d'avoir des problèmes

    2. donc j'obtenais l'erreur.

    3. J'ai modifié cette fausse et redémarré web app, maintenant c'est tout bon.