转：Validation of viewstate MAC failed异常的原因及解决方法

ViewState是一种机制，ASP.NET 使用这种机制来跟踪服务器控件状态值，否则这些值将不作为 HTTP 窗体的一部分而回传。
也就是说在页面刷新或者回传的时候控件的值将被清空，我们在aspx.cs中也经常用ViewState来存储值，作为一种存储状态，取代会话状态（session）.
我经常在aspx.cs中试用Viewstate来存储数据状态，比如

Viewstate[“name”]=”殷海超”;，然后程序会把这个Viewstate保存为键-值对形式，这是会有一个序列化和反序列化的过程（序列化就是将对象的状态
信息转换为可以存储或传输形式的过程。其实就是将对象持久化，比如说把对象保存为二进制或者是XML的方式。可以将对象序列到流、磁盘、内存和网络等等。相反，反序列化则是将存储或传输形式转换为对象的过程。），Viewstate[“name”]=”殷海超”这是序列化，因为其实这里是序列化为字符串放置至HTML页面中（中间过程何其复杂。还未理解）；string name= Viewstate[“name”];这是反序列化

“id”属性为“__EVENTVALIDATION”的隐藏字段是ASP.NET 2.0的新增的安全措施。该功能可以阻止由潜在的恶意用户从浏览器端发送的未经授权的请求.

 

对于内容较多，功能较为复杂的页面，如本站的课程详细信息页面，偶尔会出现Validation of viewstate MAC failed的错误。 
在异常的信息里，会说是在web farm或者集群环境下，machineKey的配置不一致导致的。而事实上，我们还并没有使用web场和集群，因此异常的提示信息显然是一种误导了。

事件日志里偶尔能发现这个错误，却一直找不到有效的解决方法。经过仔细研究分析之后，发现出现这个错误的概率还是很小的，还需要满足多个条件才行： 
1.页面中使用了GridView, DetailsViews, FormView等采用内置数据绑定控件 
2.就是这个页面的内容较多，在网速较慢的情况下需要较长的时间才能加载完 
3.在页面还没有加载完成的情况下，点击了Postback性质的按钮。如果是get方式的url链接请求则不存在此问题

内在的深层次原因，是由于GridView等控件，为了避免暴露数据库中的字段名称，在默认的asp.net 2.0设置之下，会对GridView里用到的DataKeyNames使用加密方式存储在ViewState里，并在页尾</form>标签标签之前写入一个隐藏域<input type="hidden" name="__VIEWSTATEENCRYPTED" id="__VIEWSTATEENCRYPTED" value="" />用来表明ViewState是使用加密存储的。 
由于这个隐藏域在页尾，因此在前面所述为页面尚未完全加载的情况下就点击Post方式的按钮，就会导致在服务器端处理反序列化viewstate时，因为找不到这个隐藏域而认为是非法的ViewState，而抛出这个异常。

解决方法就是禁止ViewState的加密，不利之处是会降低网站的安全性。 
如果要禁用整个站点或者模块的ViewState加密，只需在web.config里作如下设置即可： 
lt;pages enableEventValidation="false" viewStateEncryptionMode ="Never" /> 
当然也可以只对有出现这个问题页面的<@page作enableEventValidation="false" viewStateEncryptionMode ="Never"设置，这样的话只会在这个页面的ViewState不作加密，不会影响到整个站点所有页面的安全性。

微软已经确认这是一个Bug，详细地讨论也可以参考asp.net官方站点http://forums.asp.net/1/1173230/ShowThread.aspx