我们知道,在aso,net中两个页面中传值,可以用querystring的方法,可是用它并不安全,稍有不慎,会把传送的信息参数的值完全暴露在URL上,多么可怕啊!
方法一:把表单提交方式改为post
get是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。
post是通过HTTP post机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址。用户看不到这个过程。
方法二:代码加密:
1.发送方加密。
Response.Redirect("DetailInfo.aspx?id=" + Convert.ToBase64String(System.Text.Encoding.Default.GetBytes("sp10006")).Replace("+","% 2B")); (中间无空格)
2.接收方解密。
string ID = System.Text.Encoding.Default.GetString(Convert.FromBase64String(Request.QueryString["id"].ToString().Replace("+","% 2B")));
在使用 System.Convert.FromBase64String 解密时会报异常:Base-64 字符数组的无效长度
原理:
加密字符串中的加好“+”在传参时会变成空格“ ”,所以在解密时字符串就无效了
例如:
加密字符串:dN8b8FHDK6lEz2uneeUZk+O/rrHBzaWT
传参后变成:dN8b8FHDK6lEz2uneeUZk O/rrHBzaWT
解密时:不能识别空格:抛FormatException异常
解决方案:
在Convert.ToBase64String() 加密后 使用String.Replace("+", "% 2B")将加号替换为编码,
然后再作为参数传给另一页面传递,这样页面在提取参数时才会将“+”解码为加号
例如:
加密字符串:dN8b8FHDK6lEz2uneeUZk+O/rrHBzaWT
替换后:dN8b8FHDK6lEz2uneeUZk+O/rrHBzaWT
传参后也是:dN8b8FHDK6lEz2uneeUZk+O/rrHBzaWT
解密时:程序把"+"识别为加号 解密成功
