Um es einem möglichen Anfreifer etwas zu erschweren, einen CSRF (Cross Site Request Forgery) durchzuführen, sollte man dem Viewstate einen eindeutigen User Key geben, den das .Net Framework dann automatisch zur Validierung der zum Server zurückgesendeten Daten benutzt.

Das Ganze geht recht einfach, indem man auf den jeweiligen Seiten (.aspx) folgenden Code hinzufügr:

Private Sub Index_Init(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Init
	ViewStateUserKey = Session.SessionID
End Sub

Ich habe diesen Hinweis bei Scott Hanselman und Phil Haack gefunden