ViewStateUserKey + 共享托管 + ViewStateMac 验证失败

所以，问题很简单，尽管我开始怀疑这是否会得到解答......

我有一个网站，我想在其中使用推荐的 ViewStateUserKey 来保护我的视图状态。

在我的基页（显然继承自 Page）中，我有以下代码：

    protected override void OnInit(EventArgs e)
    {
        base.OnInit(e);

        if (User.Identity.IsAuthenticated)
            base.ViewStateUserKey = Session.SessionID;
    }

在本地主机上运行良好，但是，当我将其上传到托管（由我们本地提供商之一提供的共享托管）时，它会在我进行身份验证后给出传统的“视图状态 MAC 验证失败”错误。如果我注释掉这段代码，它会完美地工作，所以我 1000% 确定这就是原因。

在共享主机上执行视图状态安全的最佳方法是什么？我也已经设置了 ViewStateMac="Enabled" 。是否足够或者建议的解决方法是什么？

从在本地主机上而不是在服务器上播放的那一刻起，在我看来，您的会话存在一些问题，并且会话 ID 在您的服务器上快速更改/过期，比身份验证过期更快。

因此，从用户看到页面到发布页面，会话已过期或在身份验证更改之前发生更改，因此会话 ID 不同，因此您会收到此错误。

其他认为你可以看的是你已经设置了machineKey在 web.config 上。

Update

将您的代码与您编写的斯科特代码进行比较。 Scott 使用用户名，根本不会改变，而你使用 sessionid，正如我所说，它可以改变。

对我来说，以太使用斯科特建议的内容，用户名，以太一些其他也不会改变的值，例如用户的cookie，那不是那么容易改变的。

所以来自斯科特http://www.hanselman.com/blog/ViewStateUserKeyMakesViewStateMoreTamperpressive.aspx

void Page_Init (Object sender, EventArgs e)
{ 
   if (User.Identity.IsAuthenticated)
      ViewStateUserKey = User.Identity.Name;
}

这就是斯科特检查用户是否经过身份验证的原因，因为它获取了他的名字。如果您使用sessionid或用户的cookie，则不需要检查是否经过身份验证。

现在，如果您使用 cookie 在 vi​​ewstateuserkey 上设置它们，那么对于所有不允许 cookie 的用户，并尝试发布任何帖子都会出错。所以想一个像这样的解决方案来处理它们

https://stackoverflow.com/a/2551810/159270