转载viewstate(一) 太经典的东西 不得不转载保存下来
ViewState 用于维护页面的 UI 状态 ViewState 的工作原理
ViewState 确实没有什么神秘之处,它是由 ASP.NET 页面框架管理的一个隐藏的窗体字段。当 ASP.NET 执行某个页面时,该页面上的 ViewState 值和所有控件将被收集并格式化成一个编码字符串,然后被分配给隐藏窗体字段的值属性(即 <input type=hidden>)。由于隐藏窗体字段是发送到客户端的页面的一部分,所以 ViewState 值被临时存储在客户端的浏览器中。如果客户端选择将该页面回传给服务器,则 ViewState 字符串也将被回传。在上面的图 2 中可以看到 ViewState 窗体字段及其回传的值。
回传后,ASP.NET 页面框架将解析 ViewState 字符串,并为该页面和各个控件填充 ViewState 属性。然后,控件再使用 ViewState 数据将自己重新恢复为以前的状态。
关于 ViewState 还有三个值得注意的小问题。
选择会话状态还是 ViewState?
在某些情况下,将状态值保存在 ViewState 中并不是最佳选择,最常用的替代方法就是会话状态,它通常更适用于:
使用 ViewState 获得最佳性能
使用 ViewState 时,每个对象都必须先序列化到 ViewState 中,然后再通过回传进行反序列化,因此使用 ViewState 并非是没有代价的。但是,如果遵循某些简单的原则对 ViewState 的成本加以控制,则通常不会产生明显的性能影响。
减少使用 ViewState
默认情况下 ViewState 将被启用,并且是由每个控件(而非页面开发人员)来决定存储在 ViewState 中的内容。有时,这一信息对应用程序并没有什么用处。尽管也没什么害处,但却会明显增加发送到浏览器的页面的大小。因此如果不需要使用 ViewState,最好还是将它关闭,特别是当 ViewState 很大的时候。
可以基于每个控件、每个页面或每个应用程序来关闭 ViewState。在以下情况中将不再需要 ViewState:
页面
控件
DataGrid 控件是 ViewState 的一个重量级用户。默认情况下,在网格中显示的所有数据也都存储在 ViewState 中,当需要一个复杂的操作(如复杂的搜索)来获取数据时,这是非常有用的。但是,DataGrid 的这种行为有时也使得 ViewState 成为累赘。
例如,这里有一个简单的页面就属于上述情况。因为页面不回传给自身,所以它并不需要 ViewState。 启用 ViewState 时,这个小网格会给该页面增加 3000 多字节的 HTML 有效负载!使用 ASP.NET Tracing(英文)或查看发送到浏览器的页面的源代码(如以下代码所示),可以清楚地看到这一点。 <%@ Page Language="C#" %> 禁用 ViewState
在上述示例中,我通过将网格的 EnableViewState 属性设置为 False 禁用了 ViewState。可以针对单个控件、整个页面或整个应用程序禁用 ViewState,如下所示:
每个控件(在标记上):sp:datagrid EnableViewState="false" ?/>
每个页面(在指令中): <%@ Page EnableViewState="False" ?%>
每个应用程序(在 web.config 中): <Pages EnableViewState="false" ?/> 使 ViewState 更安全
由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。
可以向应用程序中添加两种 ViewState 安全级别:
需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为 ViewState 添加安全性
防篡改
管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输入的值。
可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追加一个散列代码:
<%@Page EnableViewStateMAC=true %> 可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被丢弃,同时控件将恢复为原来的设置。
默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所示:
<machineKey validation="MD5" /> 加密
可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置 EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为 3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。 <machineKey validation="3DES" /> Web 领域中的 ViewState 安全性
默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供一个唯一的、共享的验证密钥。
验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计算机支持)。例如:
<machineKey validation="SHA1" validationKey=" F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A 23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" /> System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示: <%@ Page Language="c#" %> <%@ Import Namespace="System.Security.Cryptography" %> <HTML> <body> <form runat="server"> <H3>生成随机加密密钥</H3> <P> <asp:RadioButtonList id="RadioButtonList1" runat="server" RepeatDirection="Horizontal"> <asp:ListItem Value="40">40-byte</asp:ListItem> <asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem> </asp:RadioButtonList> <asp:Button id="Button1" runat="server" onclick="GenerateKey" Text="生成密钥"> </asp:Button> </P> <P> <asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine" Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False"> 复制并粘贴生成的结果</asp:TextBox> </P> </form> </body> </HTML> <script runat=server> void GenerateKey(object sender, System.EventArgs e) { int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value); // 在此处放入用于初始化页面的用户代码 byte[] buff = new Byte[keylength/2]; RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); // 该数组已使用密码增强的随机字节进行填充 rng.GetBytes(buff); StringBuilder sb = new StringBuilder(keylength); int i; for (i = 0; i < buff.Length; i++) { sb.Append(String.Format("{0:X2}",buff[i])); } // 粘贴到文本框,用户可从中复制 TextBox1.Text = sb.ToString(); } </script> |