Per ridurre la possibilità che qualcuno intercetti i valori che ci sono all'interno del ViewState di una pagina, di solito si utilizza il criptaggio di quest'ultimo.
Le strade che possiamo percorrere per applicare questa proprietà alle pagine sono due:
- applicare l'impostazione ad ogni singola pagina
- applicare l'impostazione al sito intero

Nel primo caso basta aggiungere alla pagina a cui si vuole criptare il ViewState la direttiva:

<%@Page ViewStateEncryptionMode="Always" %>

Se vogliamo invece criptare il ViewState di tutto il sito, bisogna aggiungere nel web.config:

<configuration>
   <system.web>
      <pages ViewStateEncryptionMode="Always" />
   </system.web>
</configuration>

I valori che può assumere la proprietà ViewStateEncryptionMode sono tre:
1. Auto
2. Never
3. Always

1. Auto: il ViewState viene criptato solo se un controllo all'interno della pagina richiede esplicitamente l'utilizzo del ViewState criptato. Se nessun controllo nella pagina lo richiede, il ViewState non sarà criptato.
2. Never: la pagina non verrà mai criptata. Con questa selezione le performance aumentano, ma abbiamo un flusso dei dati nel ViewState non criptato. Può essere applicato in situazioni in cui non ci sono dati sensibili all'interno della pagina.
3. Always: In questo modo la pagina non aspetta di trovare un controllo che richiede esplicitamente l'utilizzo del ViewState criptato, ma applica il criptaggio da subito.
Questa selezione è preferibile quando la pagina lavora con dati sensibili.

Il valore di default di ViewStateEncryptionMode è Auto.