ASP.NET ViewState初探
2024-07-10 12:55:18
供稿:網友
與剛接觸 asp.net 頁面的開發人員交談時,他們通常向我提出的第一個問題就是:“那個 viewstate 到底是什么?”他們的語氣中流露出的那種感覺,就象我來到一家異國情調的餐館,侍者端上一道我從未見過的菜肴時的那種感覺 - 既疑惑不解,又充滿好奇。但肯定有人認為它不錯,否則就不會提供了。所以,我會先嘗一嘗,或許會喜歡上它,盡管它看上去的確很古怪!
對于 viewstate 也是如此,但是如果適應了它的風格,您會發現在許多情況下,您將樂于在自己的 asp.net 應用程序中使用 viewstate,因為它可以幫助您使用更少的代碼完成更多的工作。但是,有時也會對 viewstate 完全棄之不用。下面我們就這兩種情況分別進行闡述,不過,讓我們先回答什么是 viewstate 這個問題。
答案:viewstate 用于維護頁面的 ui 狀態
web 是沒有狀態的,asp.net 頁面也沒有狀態,它們在到服務器的每個往返過程中被實例化、執行、呈現和處理。作為 web 開發人員,您可以使用眾所周知的技術(如以會話狀態將狀態存儲在服務器上,或將頁面回傳到自身)來添加狀態。下面我們以圖 1 中的注冊窗體為例進行論述。
圖 1:恢復回傳的窗體值
從上圖中可以看出,我為便餐選擇了一個無效的值。此窗體與 web 上的多數窗體一樣友好,它在出現錯誤的字段旁邊顯示一條有用的錯誤消息和一個星號。而且,窗體中還顯示了我在其他文本框和下拉列表中輸入的所有有效值。這在某種程度上是可能的,因為 html 窗體元素會在 http 標頭中將其當前值從瀏覽器發送到服務器。您可以使用 asp.net 跟蹤來查看回傳的窗體值,如圖 2 所示。
圖 2:http 窗體中回傳的值(通過 asp.net 跟蹤顯示)
在 asp.net 之前,通過多次回傳將值恢復到窗體字段中完全是頁面開發人員的責任,他們將不得不從 http 窗體中逐個拾取回傳值,然后再將其推回字段中。幸運的是,現在 asp.net 可以自動完成這項任務,從而為開發人員免除了一項令人厭煩的工作,同時也無需再為窗體編寫大量的代碼。但這并不是 viewstate。
viewstate(英文)是一種機制,asp.net 使用這種機制來跟蹤服務器控件狀態值,否則這些值將不作為 http 窗體的一部分而回傳。例如,由 label 控件顯示的文本默認情況下就保存在 viewstate 中。作為開發人員,您可以綁定數據,或在首次加載該頁面時僅對 label 編程設置一次,在后續的回傳中,該標簽文本將自動從 viewstate 中重新填充。因此,除了可以減少繁瑣的工作和代碼外,viewstate 通常還可以減少數據庫的往返次數。
viewstate 的工作原理
viewstate 確實沒有什么神秘之處,它是由 asp.net 頁面框架管理的一個隱藏的窗體字段。當 asp.net 執行某個頁面時,該頁面上的 viewstate 值和所有控件將被收集并格式化成一個編碼字符串,然后被分配給隱藏窗體字段的值屬性(即 <input type=hidden>)。由于隱藏窗體字段是發送到客戶端的頁面的一部分,所以 viewstate 值被臨時存儲在客戶端的瀏覽器中。如果客戶端選擇將該頁面回傳給服務器,則 viewstate 字符串也將被回傳。在上面的圖 2 中可以看到 viewstate 窗體字段及其回傳的值。
回傳后,asp.net 頁面框架將解析 viewstate 字符串,并為該頁面和各個控件填充 viewstate 屬性。然后,控件再使用 viewstate 數據將自己重新恢復為以前的狀態。
關于 viewstate 還有三個值得注意的小問題。
如果要使用 viewstate,則在 aspx 頁面中必須有一個服務器端窗體標記 (<form runat=server>)。窗體字段是必需的,這樣包含 viewstate 信息的隱藏字段才能回傳給服務器。而且,該窗體還必須是服務器端的窗體,這樣在服務器上執行該頁面時,asp.net 頁面框架才能添加隱藏的字段。
頁面本身將 20 字節左右的信息保存在 viewstate 中,用于在回傳時將 postback 數據和 viewstate 值分發給正確的控件。因此,即使該頁面或應用程序禁用了 viewstate,仍可以在 viewstate 中看到少量的剩余字節。
在頁面不回傳的情況下,可以通過省略服務器端的 <form> 標記來去除頁面中的 viewstate。
充分利用 viewstate
viewstate 為跨回傳跟蹤控件的狀態提供了一條神奇的途徑,因為它不使用服務器資源、不會超時,并且適用于任何瀏覽器。如果您要編寫控件,那么肯定需要了解如何在控件中維護狀態(英文)。
開發人員在編寫頁面時同樣可以按照幾乎相同的方式來利用 viewstate,只是有時頁面會包含不由控件存儲的 ui 狀態值。您可以跟蹤 viewstate 中的值,使用的編程語法與會話和高速緩存的語法類似:
[visual basic]
' 保存在 viewstate 中
viewstate("sortorder") = "desc"
' 從 viewstate 中讀取
dim sortorder as string = cstr(viewstate("sortorder"))
[c#]
// 保存在 viewstate 中
viewstate["sortorder"] = "desc";
// 從 viewstate 中讀取
string sortorder = (string)viewstate["sortorder"];
請看下面的示例:要在 web 頁上顯示一個項目列表,而每個用戶需要不同的列表排序。項目列表是靜態的,因此可以將這些頁面綁定到相同的緩存數據集,而排序順序只是用戶特定的 ui 狀態的一小部分。viewstate 非常適合于存儲這種類型的值。代碼如下:
[visual basic]
<%@ import namespace="system.data" %>
<html>
<head>
<title>用于頁面 ui 狀態值的 viewstate/title>
</head>
<body>
<form runat="server">
<h3>
在 viewstate 中存儲非控件狀態
</h3>
<p>
此示例將一列靜態數據的當前排序順序存儲在 viewstate 中。<br>
單擊列標題中的鏈接,可按該字段排序數據。<br>
再次單擊該鏈接,將按相反順序排序。
<br><br><br>
<asp:datagrid id="datagrid1" runat="server"
onsortcommand="sortgrid" borderstyle="none" borderwidth="1px"
bordercolor="#cccccc" backcolor="white" cellpadding="5" allowsorting="true">
<headerstyle font-bold="true" forecolor="white"
backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html>
<script runat="server">
' 在 viewstate 中跟蹤 sortfield 屬性
property sortfield() as string
get
dim o as object = viewstate("sortfield")
if o is nothing then
return string.empty
end if
return cstr(o)
end get
set(value as string)
if value = sortfield then
' 與當前排序文件相同,切換排序方向
sortascending = not sortascending
end if
viewstate("sortfield") = value
end set
end property
' 在 viewstate 中跟蹤 sortascending 屬性
property sortascending() as boolean
get
dim o as object = viewstate("sortascending")
if o is nothing then
return true
end if
return cbool(o)
end get
set(value as boolean)
viewstate("sortascending") = value
end set
end property
private sub page_load(sender as object, e as eventargs) handles mybase.load
if not page.ispostback then
bindgrid()
end if
end sub
sub bindgrid()
' 獲取數據
dim ds as new dataset()
ds.readxml(server.mappath("testdata.xml"))
dim dv as new dataview(ds.tables(0))
' 應用排序過濾器和方向
dv.sort = sortfield
if not sortascending then
dv.sort += " desc"
end if
' 綁定網格
datagrid1.datasource = dv
datagrid1.databind()
end sub
private sub sortgrid(sender as object, e as datagridsortcommandeventargs)
datagrid1.currentpageindex = 0
sortfield = e.sortexpression
bindgrid()
end sub
</script>
[c#]
<%@ page language="c#" %>
<%@ import namespace="system.data" %>
<html>
<head>
<title>用于頁面 ui 狀態值的 viewstate</title>
</head>
<body>
<form runat="server">
<h3>
在 viewstate 中存儲非控件狀態
</h3>
<p>
此示例將一列靜態數據的當前排序順序存儲在 viewstate 中。<br>
單擊列標題中的鏈接,可按該字段排序數據。<br>
再次單擊該鏈接,將按相反順序排序。
<br><br><br>
<asp:datagrid id="datagrid1" runat="server" onsortcommand="sortgrid"
borderstyle="none" borderwidth="1px" bordercolor="#cccccc"
backcolor="white" cellpadding="5" allowsorting="true">
<headerstyle font-bold="true" forecolor="white" backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html>
<script runat="server">
// 在 viewstate 中跟蹤 sortfield 屬性
string sortfield {
get {
object o = viewstate["sortfield"];
if (o == null) {
return string.empty;
}
return (string)o;
}
set {
if (value == sortfield) {
// 與當前排序文件相同,切換排序方向
sortascending = !sortascending;
}
viewstate["sortfield"] = value;
}
}
// 在 viewstate 中跟蹤 sortascending 屬性
bool sortascending {
get {
object o = viewstate["sortascending"];
if (o == null) {
return true;
}
return (bool)o;
}
set {
viewstate["sortascending"] = value;
}
}
void page_load(object sender, eventargs e) {
if (!page.ispostback) {
bindgrid();
}
}
void bindgrid() {
// 獲取數據
dataset ds = new dataset();
ds.readxml(server.mappath("testdata.xml"));
dataview dv = new dataview(ds.tables[0]);
// 應用排序過濾器和方向
dv.sort = sortfield;
if (!sortascending) {
dv.sort += " desc";
}
// 綁定網格
datagrid1.datasource = dv;
datagrid1.databind();
}
void sortgrid(object sender, datagridsortcommandeventargs e) {
datagrid1.currentpageindex = 0;
sortfield = e.sortexpression;
bindgrid();
}
</script>
下面是上述兩個代碼段中引用的 testdata.xml 的代碼:
<?xml version="1.0" standalone="yes"?>
<newdataset>
<table>
<pub_id>0736</pub_id>
<pub_name>new moon books</pub_name>
<city>boston</city>
<state>ma</state>
<country>usa</country>
</table>
<table>
<pub_id>0877</pub_id>
<pub_name>binnet & hardley</pub_name>
<city>washington</city>
<state>dc</state>
<country>usa</country>
</table>
<table>
<pub_id>1389</pub_id>
<pub_name>algodata infosystems</pub_name>
<city>berkeley</city>
<state>ca</state>
<country>usa</country>
</table>
<table>
<pub_id>1622</pub_id>
<pub_name>five lakes publishing</pub_name>
<city>chicago</city>
<state>il</state>
<country>usa</country>
</table>
<table>
<pub_id>1756</pub_id>
<pub_name>ramona publishers</pub_name>
<city>dallas</city>
<state>tx</state>
<country>usa</country>
</table>
<table>
<pub_id>9901</pub_id>
<pub_name>ggg&g</pub_name>
<city>muenchen</city>
<country>germany</country>
</table>
<table>
<pub_id>9952</pub_id>
<pub_name>scootney books</pub_name>
<city>new york</city>
<state>ny</state>
<country>usa</country>
</table>
<table>
<pub_id>9999</pub_id>
<pub_name>lucerne publishing</pub_name>
<city>paris</city>
<country>france</country>
</table>
</newdataset>
選擇會話狀態還是 viewstate?
在某些情況下,將狀態值保存在 viewstate 中并不是最佳選擇,最常用的替代方法就是會話狀態,它通常更適用于:
大量的數據。由于 viewstate 增加了發送到瀏覽器的頁面的大小(html 有效負載),同時也增加了回傳的窗體的大小,因此不適合存儲大量數據。
未在 ui 中顯示的安全數據。盡管 viewstate 數據已被編碼,并且可以選擇對其進行加密,但始終不將數據發送到客戶端才是最安全的。因此,會話是更安全的選擇。(由于數據庫需要額外的憑據進行驗證,因此將數據存儲在數據庫中會更安全。可以添加 ssl 以獲得更安全的鏈接。)但是,如果在 ui 中已經顯示了該專用數據,那么您應該已經確認了鏈接的安全性。在這種情況下,將同樣的值放入 viewstate 不會降低安全性。
尚未序列化到 viewstate 中的對象,如 dataset。viewstate 序列化程序只為一小部分常用的對象類型進行了優化,如下所示。其他可序列化的類型或許可以保留在 viewstate 中,但速度會變慢,并會生成一個非常大的 viewstate。
會話狀態 viewstate
是否使用服務器資源? 是 否
是否超時? 是,20 分鐘后(默認) 否
是否存儲所有 .net 類型? 是 否,僅支持:string、integer、boolean、array、arraylist、hashtable 和自定義 typeconverter
是否增加“html 有效負載”? 否 是
使用 viewstate 獲得最佳性能
使用 viewstate 時,每個對象都必須先序列化到 viewstate 中,然后再通過回傳進行反序列化,因此使用 viewstate 并非是沒有代價的。但是,如果遵循某些簡單的原則對 viewstate 的成本加以控制,則通常不會產生明顯的性能影響。
在不需要時禁用 viewstate。下面的“減少使用 viewstate”一節將詳細介紹這一問題。
使用優化過的 viewstate 序列化程序。上面列出的類型具有專門的序列化程序,這些程序運行速度很快,并已經過優化,可以生成很小的 viewstate。如果要序列化一個未在上面列出的類型,可以創建一個自定義 typeconverter 來顯著提高它的性能。
盡量減少使用對象,如果可能,盡量減少放入 viewstate 中的對象的數目。例如,不要使用二維字符串數組(名稱/值,其對象的數目與數組的長度一樣多),而應使用兩個字符串數組(只有兩個對象)。但是,在將兩個已知類型存儲在 viewstate 中之前,在這兩者之間轉換不會獲得任何性能提高,因為這樣做實際上相當于付出了兩次轉換的代價。
減少使用 viewstate
默認情況下 viewstate 將被啟用,并且是由每個控件(而非頁面開發人員)來決定存儲在 viewstate 中的內容。有時,這一信息對應用程序并沒有什么用處。盡管也沒什么害處,但卻會明顯增加發送到瀏覽器的頁面的大小。因此如果不需要使用 viewstate,最好還是將它關閉,特別是當 viewstate 很大的時候。
可以基于每個控件、每個頁面或每個應用程序來關閉 viewstate。在以下情況中將不再需要 viewstate: 頁面 控件
頁面不回傳給自身。
處理的不是控件的事件。
控件沒有動態的或數據綁定的屬性值(或對于每一個請求它們都設置在代碼中)。
datagrid 控件是 viewstate 的一個重量級用戶。默認情況下,在網格中顯示的所有數據也都存儲在 viewstate 中,當需要一個復雜的操作(如復雜的搜索)來獲取數據時,這是非常有用的。但是,datagrid 的這種行為有時也使得 viewstate 成為累贅。
例如,這里有一個簡單的頁面就屬于上述情況。因為頁面不回傳給自身,所以它并不需要 viewstate。
圖 3:帶有 datagrid1 的簡單頁面 lessviewstate.aspx
<%@ import namespace="system.data" %>
<html>
<body>
<form runat="server">
<asp:datagrid runat="server" />
</form>
</body>
</html>
<script runat="server">
private sub page_load(sender as object, e as eventargs)
dim ds as new dataset()
ds.readxml(server.mappath("testdata.xml"))
datagrid1.datasource = ds
datagrid1.databind()
end sub
</script>
啟用 viewstate 時,這個小網格會給該頁面增加 3000 多字節的 html 有效負載!使用 asp.net tracing(英文)或查看發送到瀏覽器的頁面的源代碼(如以下代碼所示),可以清楚地看到這一點。
<html>
<head>
<title>減少頁面的“html 有效負載”</title>
</head>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__viewstate"
value="ddwxntgzotu2oda7ddw7bdxppde+oz47bdx0pdtspgk8mt47pjtsphq8qda8cdxw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_u56 ?cdxspfrlehq7pjtspfdhc2hpbmd0b247pj47pjs7pjt0pha8cdxspfrlehq7pjtsperdoz
4+oz47oz47ddxwpha8bdxuzxh0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxp
jtppdi+o2k8mz47atw0pjs+o2w8ddxwpha8bdxuzxh0oz47bdwxmzg5oz4+oz47oz47ddxw
pha8bdxuzxh0oz47bdxbbgdvzgf0ysbjbmzvc3lzdgvtczs+pjs+ozs+o3q8cdxwpgw8vgv
4dds+o2w8qmvya2vszxk7pj47pjs7pjt0pha8cdxspfrlehq7pjtspenboz4+oz47oz47dd
xwpha8bdxuzxh0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxpjtppdi+o2k8m
z47atw0pjs+o2w8ddxwpha8bdxuzxh0oz47bdwxnjiyoz4+oz47oz47ddxwpha8bdxuzxh0
oz47bdxgaxzliexha2vzifb1ymxpc2hpbmc7pj47pjs7pjt0pha8cdxspfrlehq7pjtspen
oawnhz287pj47pjs7pjt0pha8cdxspfrlehq7pjtspelmoz4+oz47oz47ddxwpha8bdxuzx
h0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxpjtppdi+o2k8mz47atw0pjs+o
2w8ddxwpha8bdxuzxh0oz47bdwxnzu2oz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxsyw1v
bmeguhvibglzagvyczs+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8rgfsbgfzoz4+oz47oz4
7ddxwpha8bdxuzxh0oz47bdxuwds+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8vvnboz4+oz
47oz47pj47ddw7bdxppda+o2k8mt47atwypjtppdm+o2k8nd47pjtsphq8cdxwpgw8vgv4d
ds+o2w8otkwmts+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8r0dhjkc7pj47pjs7pjt0pha8
cdxspfrlehq7pjtspe3dvg5jagvuoz4+oz47oz47ddxwpha8bdxuzxh0oz47bdwmbmjzcfw
7oz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxhzxjtyw55oz4+oz47oz47pj47ddw7bdxppd
a+o2k8mt47atwypjtppdm+o2k8nd47pjtsphq8cdxwpgw8vgv4dds+o2w8otk1mjs+pjs+o
zs+o3q8cdxwpgw8vgv4dds+o2w8u2nvb3ruzxkgqm9va3m7pj47pjs7pjt0pha8cdxspfrl
ehq7pjtspe5ldybzb3jroz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxowts+pjs+ozs+o3q
8cdxwpgw8vgv4dds+o2w8vvnboz4+oz47oz47pj47ddw7bdxppda+o2k8mt47atwypjtppd
m+o2k8nd47pjtsphq8cdxwpgw8vgv4dds+o2w8otk5ots+pjs+ozs+o3q8cdxwpgw8vgv4d
ds+o2w8thvjzxjuzsbqdwjsaxnoaw5noz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxqyxjp
czs+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8jm5ic3bcozs+pjs+ozs+o3q8cdxwpgw8vgv
4dds+o2w8rnjhbmnloz4+oz47oz47pj47pj47pj47pj47pj47pg==" />
看!只是禁用了該網格的 viewstate,同一頁面的有效負載就大大減少了:
<html>
<head>
<title>減少頁面的“html 有效負載”</title>
</head>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__viewstate" value="ddwxntgzotu2oda7oz4=" />
下面是 visual basic 和 c# 的完整的 lessviewstate 代碼:
[visual basic]
<%@ import namespace="system.data" %>
<html>
<head>
<title>減少頁面的“html 有效負載”</title>
</head>
<body>
<form runat="server">
<h3>
通過禁用 viewstate 來減少頁面的“html 有效負載”
</h3>
<p>
<asp:datagrid id="datagrid1" runat="server" enableviewstate="false"
borderstyle="none" borderwidth="1px" bordercolor="#cccccc"
backcolor="white" cellpadding="5">
<headerstyle font-bold="true" forecolor="white" backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html><script runat="server">
private sub page_load(sender as object, e as eventargs)
dim ds as new dataset()
ds.readxml(server.mappath("testdata.xml"))
datagrid1.datasource = ds
datagrid1.databind()
end sub
</script>
[c#]
<%@ page language="c#" %>
<%@ import namespace="system.data" %>
<html>
<head>
<title>減少頁面的“html 有效負載”</title>
</head>
<body>
<form runat="server">
<h3>
通過禁用 viewstate 來減少頁面的“html 有效負載”
</h3>
<p>
<asp:datagrid id="datagrid1" runat="server" enableviewstate="false"
borderstyle="none" borderwidth="1px" bordercolor="#cccccc"
backcolor="white" cellpadding="5">
<headerstyle font-bold="true" forecolor="white" backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html>
<script runat="server">
void page_load(object sender, eventargs e) {
dataset ds = new dataset();
ds.readxml(server.mappath("testdata.xml"));
datagrid1.datasource = ds;
datagrid1.databind();
}
</script>
禁用 viewstate
在上述示例中,我通過將網格的 enableviewstate 屬性設置為 false 禁用了 viewstate。可以針對單個控件、整個頁面或整個應用程序禁用 viewstate,如下所示: 每個控件(在標記上) <asp:datagrid enableviewstate="false" ?/>
每個頁面(在指令中) <%@ page enableviewstate="false" ?%>
每個應用程序(在 web.config 中) <pages enableviewstate="false" ?/>
使 viewstate 更安全
由于 viewstate 沒有被格式化為清晰的文本,某些人有時會認為它被加密了,其實并沒有。相反,viewstate 只是進行了 base64 編碼,以確保值在往返過程中不會發生變化,而并不考慮應用程序使用的響應/請求編碼。
可以向應用程序中添加兩種 viewstate 安全級別:
防篡改
加密
需要注意的是,viewstate 安全性對于處理和呈現 asp.net 頁面所需的時間有直接的影響。簡單地說,安全性越高,速度越慢。因此如果不需要,請不要為 viewstate 添加安全性。
防篡改
盡管散列代碼不能確保 viewstate 字段中實際數據的安全,但它能夠顯著降低有人通過 viewstate 騙過應用程序的可能性,即防止回傳應用程序通常禁止用戶輸入的值。
可以通過設置 enableviewstatemac 屬性來指示 asp.net 向 viewstate 字段中追加一個散列代碼:
<%@page enableviewstatemac=true %>
可以在頁面級別上設置 enableviewstatemac,也可以在應用程序級別上設置。在回傳時,asp.net 將為 viewstate 數據生成一個散列代碼,并將其與存儲在回傳值中的散列代碼進行比較。如果兩處的散列代碼不匹配,該 viewstate 數據將被丟棄,同時控件將恢復為原來的設置。
默認情況下,asp.net 使用 sha1 算法來生成 viewstate 散列代碼。此外,也可以通過在 machine.config 文件中設置 <machinekey> 來選擇 md5 算法,如下所示:
<machinekey validation="md5" />
加密
可以使用加密來保護 viewstate 字段中的實際數據值。首先,必須如上所述設置 enableviewstatmac="true"。然后,將 machinekey validation 類型設置為 3des。這將指示 asp.net 使用 triple des 對稱加密算法來加密 viewstate 值。
<machinekey validation="3des" />
web 領域中的 viewstate 安全性
默認情況下,asp.net 將創建一個隨機的驗證密鑰,并存儲在每個服務器的本地安全授權 (lsa) 中。要驗證在另一臺服務器上創建的 viewstate 字段,兩臺服務器的 validationkey 必須設置為相同的值。如果要通過上述方式之一,對運行于 web 領域配置中的應用程序進行 viewstate 安全設置,則需要為所有服務器提供一個唯一的、共享的驗證密鑰。
驗證密鑰是一個包含 20 到 64 位密碼增強字節的隨機字符串,用 40 到 128 個十六進制字符表示。密鑰越長越安全,因此建議使用 128 個字符的密鑰(如果計算機支持)。例如:
<machinekey validation="sha1" validationkey="
f3690e7a3143c185ab1089616a8b4d81fd55dd7a69eeaa3b32a6ae813eceecd28dea66a
23bee42193729bd48595ebafe2c2e765be77e006330bc3b1392d7c73f" />
system.security.cryptography 名稱空間包括 rngcryptoserviceprovider 類,使用該類可以生成此字符串,如以下 generatecryptokey.aspx 示例所示:
<%@ page language="c#" %>
<%@ import namespace="system.security.cryptography" %>
<html>
<body>
<form runat="server">
<h3>生成隨機加密密鑰</h3>
<p>
<asp:radiobuttonlist id="radiobuttonlist1"
runat="server" repeatdirection="horizontal">
<asp:listitem value="40">40-byte</asp:listitem>
<asp:listitem value="128" selected="true">128-byte</asp:listitem>
</asp:radiobuttonlist>
<asp:button id="button1" runat="server"
text="生成密鑰">
</asp:button></p>
<p>
<asp:textbox id="textbox1" runat="server" textmode="multiline"
rows="10" columns="70" backcolor="#eeeeee" enableviewstate="false">
復制并粘貼生成的結果</asp:textbox></p>
</form>
</body>
</html>
<script runat=server>
void generatekey(object sender, system.eventargs e)
{
int keylength = int32.parse(radiobuttonlist1.selecteditem.value);
// 在此處放入用于初始化頁面的用戶代碼
byte[] buff = new byte[keylength/2];
rngcryptoserviceprovider rng = new rngcryptoserviceprovider();
// 該數組已使用密碼增強的隨機字節進行填充
rng.getbytes(buff);
stringbuilder sb = new stringbuilder(keylength);
int i;
for (i = 0; i < buff.length; i++) {
sb.append(string.format("{0:x2}",buff[i]));
}
// 粘貼到文本框,用戶可從中復制
textbox1.text = sb.tostring();
}
</script>
總結
asp.net viewstate 是一種新的狀態服務,可供開發人員基于每個用戶來跟蹤 ui 狀態。viewstate 沒有什么神秘之處,它只是利用了一個老的 web 編程技巧:在一個隱藏的窗體字段中來回傳遞狀態,并將它直接應用于頁面處理框架中。但效果卻非常好 - 在基于 web 的窗體中只需編寫并維護很少的代碼。
用戶可能并不總是需要它,但我想您在需要它的時候會發現,viewstate 是提供給頁面開發人員的諸多 asp.net 新功能中非常令人滿意的一種功能。
