网站首页
开启辅助访问

FineUI 官方论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

本论坛已关闭(禁止注册、发帖和回复)
请移步 三石和他的朋友们

FineUI首页 WebForms - MVC & Core - JavaScript 常见问题 - QQ群 - 十周年征文活动

FineUI(开源版) 下载源代码 - 下载空项目 - 获取ExtJS - 文档 在线示例 - 版本更新 - 捐赠作者 - 教程

升级到 ASP.NET Core 3.1,快、快、快! 全新ASP.NET Core,比WebForms还简单! 欢迎加入【三石和他的朋友们】(基础版下载)

搜索
FineUI 官方论坛»论坛首页 FineUI(WebForms,开源版) FineUI 经验分享区 按钮禁用状态, _doPostBack仍然可以执行服务器事件 ...
返回列表 发新帖
查看: 5435|回复: 8
打印 上一主题 下一主题

按钮禁用状态, _doPostBack仍然可以执行服务器事件

[复制链接]
hcp
跳转到指定楼层
楼主
发表于 2016-7-6 15:23:07 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
Button处于Disabled状态, 但是用javascript调用 __doPostBack('<%=btn.UniqueID%>', ''); 仍然可以执行服务器端的OnClick事件, 这算不算一个漏洞?

回复

举报

hcp
沙发
 楼主| 发表于 2016-7-7 16:55:30 | 显示全部楼层
本帖最后由 hcp 于 2016-7-7 17:03 编辑
sanshi 发表于 2016-7-6 18:00
不是BUG,也不是漏洞,UI仅仅是作为显示状态的呈现,所有JS端的验证都可以绕过去,所以对于安全性高的程序 ...

那你们的控件为什么不能在服务器端触发Onclick事件之前判断一下按钮的状态, 如果是禁用或隐藏的就不予执行呢?
如果照你说的, 我们程序里所有Button的Click事件处理程序里都要先判断一下按钮是否禁用或隐藏. 不麻烦吗?

而且这明显就是个漏洞, 表面上按钮状态是禁用的, 可是后台代码仍然可以被调用, 如果恶意用户通过篡改提交的请求数据, 就可以执行其授权之外的操作.
原生Asp.Net的按钮控件就没有这样的问题.
回复 支持 反对

举报

hcp
板凳
 楼主| 发表于 2016-7-7 18:06:35 | 显示全部楼层
sanshi 发表于 2016-7-7 17:28
这个不是漏洞,也不是BUG,道理我上面已经说了。你可以再考虑下

至于你提到的:

你说的有道理, asp.net原生控件的是我记错了, 对不住啊 .
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|FineUI 官方论坛 ( 皖ICP备2021006167号-1 )

GMT+8, 2024-5-7 12:19 , Processed in 0.047799 second(s), 18 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表