解决asp.net跨站点请求伪造的简单手段以及遇到的问题

借鉴：http://blog.csdn.net/hnwanghb/article/details/7920674

在aspx页面的 override protected void OnInit(EventArgs e)事件里，添加一句代码：

Page.ViewStateUserKey = Session.SessionID;

override protected void OnInit(EventArgs e)

{

base.OnInit(e);

Page.ViewStateUserKey = Session.SessionID;

}
但有些人可能会碰到下面这个错误

验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载，请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。

先尝试如下解决（借鉴http://www.cnblogs.com/sephil/archive/2007/10/19/asp_net_post.html）
修改当前页面的@page属性，添加enableEventValidation="false" enableViewStateMac="false"

[align=left]或者在web.config里添加<pages enableEventValidation="false" enableViewStateMac="false" />[/align]

[align=left]如果不行，则估计是在解决会话标识未更新的问题时造成的，因每次页面要生成新的SessionID，而当页面需要有回发逻辑时，造成与服务器ViewStateUserKey解析不一致（大概是这样，呵呵）[/align]

[align=left]附带会话标识未更新的解决方法：[/align]
if (!IsPostBack&&Session["user"]==null)///Session["user"]根据个人逻辑要或不要

{

Session.Abandon();

Request.Cookies.Clear();

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

}