本文发表在 rolia.net 枫下论坛ASP.NET ViewState 初探 (1)
作者:白开心 于 2002-2-19 9:13:36
与刚接触 ASP.NET 页面的开发人员交谈时,他们通常向我提出的第一个问题
就是:“那个 ViewState 到底是什么?”他们的语气中流露出的那种感觉,就象
我来到一家异国情调的餐馆,侍者端上一道我从未见过的菜肴时的那种感觉 - 既
疑惑不解,又充满好奇。但肯定有人认为它不错,否则就不会提供了。所以,我会
先尝一尝,或许会喜欢上它,尽管它看上去的确很古怪!
对于 ViewState 也是如此,但是如果适应了它的风格,您会发现在许多情况下,
您将乐于在自己的 ASP.NET 应用程序中使用 ViewState,因为它可以帮助您使用
更少的代码完成更多的工作。但是,有时也会对 ViewState 完全弃之不用。下面
我们就这两种情况分别进行阐述,不过,让我们先回答什么是 ViewState 这个问
题。
答案:ViewState 用于维护页面的 UI 状态
Web 是没有状态的,ASP.NET 页面也没有状态,它们在到服务器的每个往返过程中
被实例化、执行、呈现和处理。作为 Web 开发人员,您可以使用众所周知的技术
(如以会话状态将状态存储在服务器上,或将页面回传到自身)来添加状态。下面
我们以图 1 中的注册窗体为例进行论述。
图 1:恢复回传的窗体值
从上图中可以看出,我为便餐选择了一个无效的值。此窗体与 Web 上的多数窗体
一样友好,它在出现错误的字段旁边显示一条有用的错误消息和一个星号。而且,
窗体中还显示了我在其他文本框和下拉列表中输入的所有有效值。这在某种程度上
是可能的,因为 HTML 窗体元素会在 HTTP 标头中将其当前值从浏览器发送到服务
器。您可以使用 ASP.NET 跟踪来查看回传的窗体值,如图 2 所示。
图 2:HTTP 窗体中回传的值(通过 ASP.NET 跟踪显示)
在 ASP.NET 之前,通过多次回传将值恢复到窗体字段中完全是页面开发人员的责
任,他们将不得不从 HTTP 窗体中逐个拾取回传值,然后再将其推回字段中。幸运
的是,现在 ASP.NET 可以自动完成这项任务,从而为开发人员免除了一项令人厌
烦的工作,同时也无需再为窗体编写大量的代码。但这并不是 ViewState。
ViewState(英文)是一种机制,ASP.NET 使用这种机制来跟踪服务器控件状态值
,否则这些值将不作为 HTTP 窗体的一部分而回传。例如,由 Label 控件显示的
文本默认情况下就保存在 ViewState 中。作为开发人员,您可以绑定数据,或在
首次加载该页面时仅对 Label 编程设置一次,在后续的回传中,该标签文本将自
动从 ViewState 中重新填充。因此,除了可以减少繁琐的工作和代码外,
ViewState 通常还可以减少数据库的往返次数。
ViewState 的工作原理
ViewState 确实没有什么神秘之处,它是由 ASP.NET 页面框架管理的一个隐藏的
窗体字段。当 ASP.NET 执行某个页面时,该页面上的 ViewState 值和所有控件将
被收集并格式化成一个编码字符串,然后被分配给隐藏窗体字段的值属性(即
<input type=hidden>)。由于隐藏窗体字段是发送到客户端的页面的一部分,所
以 ViewState 值被临时存储在客户端的浏览器中。如果客户端选择将该页面回传
给服务器,则 ViewState 字符串也将被回传。在上面的图 2 中可以看到
ViewState 窗体字段及其回传的值。
回传后,ASP.NET 页面框架将解析 ViewState 字符串,并为该页面和各个控件填
充 ViewState 属性。然后,控件再使用 ViewState 数据将自己重新恢复为以前的
状态。
关于 ViewState 还有三个值得注意的小问题。
如果要使用 ViewState,则在 ASPX 页面中必须有一个服务器端窗体标记
(<form runat=server>)。窗体字段是必需的,这样包含 ViewState 信息的隐藏字
段才能回传给服务器。而且,该窗体还必须是服务器端的窗体,这样在服务器上执
行该页面时,ASP.NET 页面框架才能添加隐藏的字段。
页面本身将 20 字节左右的信息保存在 ViewState 中,用于在回传时将 PostBack
数据和 ViewState 值分发给正确的控件。因此,即使该页面或应用程序禁用了
ViewState,仍可以在 ViewState 中看到少量的剩余字节。
在页面不回传的情况下,可以通过省略服务器端的 <form>
ASP.NET ViewState 初探 (2)
作者:白开心 于 2002-2-19 9:14:42
请看下面的示例:要在 Web 页上显示一个项目列表,而每个用户需要不同的列
表排序。项目列表是静态的,因此可以将这些页面绑定到相同的缓存数据集,而排
序顺序只是用户特定的 UI 状态的一小部分。ViewState 非常适合于存储这种类型
的值。代码如下:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState/title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。<br>
单击列标题中的链接,可按该字段排序数据。<br>
再次单击该链接,将按相反顺序排序。
<br>lt;br>lt;br>
<asp:datagrid id="DataGrid1" runat="server"
OnSortCommand="SortGrid" BorderStyle="None" BorderWidth="1px"
BorderColor="#CCCCCC" BackColor="White" CellPadding="5"
AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White"
BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
‘ 在 ViewState 中跟踪 SortField 属性
Property SortField() As String
Get
Dim o As Object = ViewState("SortField")
If o Is Nothing Then
Return String.Empty
End If
Return CStr(o)
End Get
Set(Value As String)
If Value = SortField Then
‘ 与当前排序文件相同,切换排序方向
SortAscending = Not SortAscending
End If
ViewState("SortField") = Value
End Set
End Property
‘ 在 ViewState 中跟踪 SortAscending 属性
Property SortAscending() As Boolean
Get
Dim o As Object = ViewState("SortAscending")
If o Is Nothing Then
Return True
End If
Return CBool(o)
End Get
Set(Value As Boolean)
ViewState("SortAscending") = Value
End Set
End Property
Private Sub Page_Load(sender As Object, e As EventArgs) Handles MyBase.
Load
If Not Page.IsPostBack Then
BindGrid()
End If
End Sub
Sub BindGrid()
‘ 获取数据
Dim ds As New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
Dim dv As New DataView(ds.Tables(0))
‘ 应用排序过滤器和方向
dv.Sort = SortField
If Not SortAscending Then
dv.Sort += " DESC"
End If
‘ 绑定网格
DataGrid1.DataSource = dv
DataGrid1.DataBind()
End Sub
Private Sub SortGrid(sender As Object, e As
DataGridSortCommandEventArgs)
DataGrid1.CurrentPageIndex = 0
SortField = e.SortExpression
BindGrid()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState</title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。<br>
单击列标题中的链接,可按该字段排序数据。<br>
再次单击该链接,将按相反顺序排序。
<br>lt;br>lt;br>
<asp:datagrid id="DataGrid1" runat="server" OnSortCommand="SortGrid"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
// 在 ViewState 中跟踪 SortField 属性
string SortField {
get {
object o = ViewState["SortField"];
if (o == null) {
return String.Empty;
}
return (string)o;
}
set {
if (value == SortField) {
// 与当前排序文件相同,切换排序方向
SortAscending = !SortAscending;
}
ViewState["SortField"] = value;
}
}
// 在 ViewState 中跟踪 SortAscending 属性
bool SortAscending {
get {
object o = ViewState["SortAscending"];
if (o == null) {
return true;
}
return (bool)o;
}
set {
ViewState["SortAscending"] = value;
}
}
void Page_Load(object sender, EventArgs e) {
if (!Page.IsPostBack) {
BindGrid();
}
}
void BindGrid() {
// 获取数据
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataView dv = new DataView(ds.Tables[0]);
// 应用排序过滤器和方向
dv.Sort = SortField;
if (!SortAscending) {
dv.Sort += " DESC";
}
// 绑定网格
DataGrid1.DataSource = dv;
DataGrid1.DataBind();
}
void SortGrid(object sender, DataGridSortCommandEventArgs e) {
DataGrid1.CurrentPageIndex = 0;
SortField = e.SortExpression;
BindGrid();
}
</script>
下面是上述两个代码段中引用的 testdata.xml 的代码:
<?xml version="1.0" standalone="yes"?>
<NewDataSet>
<Table>
<pub_id>0736</pub_id>
<pub_name>New Moon Books</pub_name>
<city>Boston</city>
<state>MA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>0877</pub_id>
<pub_name>Binnet & Hardley</pub_name>
<city>Washington</city>
<state>DC</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1389</pub_id>
<pub_name>Algodata Infosystems</pub_name>
<city>Berkeley</city>
<state>CA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1622</pub_id>
<pub_name>Five Lakes Publishing</pub_name>
<city>Chicago</city>
<state>IL</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1756</pub_id>
<pub_name>Ramona Publishers</pub_name>
<city>Dallas</city>
<state>TX</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9901</pub_id>
<pub_name>GGG&G</pub_name>
<city>Muenchen</city>
<country>Germany</country>
</Table>
<Table>
<pub_id>9952</pub_id>
<pub_name>Scootney Books</pub_name>
<city>New York</city>
<state>NY</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9999</pub_id>
<pub_name>Lucerne Publishing</pub_name>
<city>Paris</city>
<country>France</country>
</Table>
</NewDataSet>
ASP.NET ViewState 初探 (3)
作者:白开心 于 2002-2-19 9:15:39
选择会话状态还是 ViewState?
在某些情况下,将状态值保存在 ViewState 中并不是最佳选择,最常用的替代方
法就是会话状态,它通常更适用于:
大量的数据。由于 ViewState 增加了发送到浏览器的页面的大小(HTML 有效负载
),同时也增加了回传的窗体的大小,因此不适合存储大量数据。
未在 UI 中显示的安全数据。尽管 ViewState 数据已被编码,并且可以选择对其
进行加密,但始终不将数据发送到客户端才是最安全的。因此,会话是更安全的选
择。(由于数据库需要额外的凭据进行验证,因此将数据存储在数据库中会更安全
。可以添加 SSL 以获得更安全的链接。)但是,如果在 UI 中已经显示了该专用
数据,那么您应该已经确认了链接的安全性。在这种情况下,将同样的值放入
ViewState 不会降低安全性。
尚未序列化到 ViewState 中的对象,如 DataSet。ViewState 序列化程序只为一
小部分常用的对象类型进行了优化,如下所示。其他可序列化的类型或许可以保留
在 ViewState 中,但速度会变慢,并会生成一个非常大的 ViewState。
会话状态 ViewState
是否使用服务器资源? 是 否
是否超时? 是,20 分钟后(默认) 否
是否存储所有 .NET 类型? 是 否,仅支持:String、Integer、Boolean、Array
、ArrayList、Hashtable 和自定义 TypeConverter
是否增加“HTML 有效负载”? 否 是
使用 ViewState 获得最佳性能
使用 ViewState 时,每个对象都必须先序列化到 ViewState 中,然后再通过回传
进行反序列化,因此使用 ViewState 并非是没有代价的。但是,如果遵循某些简
单的原则对 ViewState 的成本加以控制,则通常不会产生明显的性能影响。
在不需要时禁用 ViewState。下面的“减少使用 ViewState”一节将详细介绍这一
问题。
使用优化过的 ViewState 序列化程序。上面列出的类型具有专门的序列化程序,
这些程序运行速度很快,并已经过优化,可以生成很小的 ViewState。如果要序列
化一个未在上面列出的类型,可以创建一个自定义 TypeConverter 来显著提高它
的性能。
尽量减少使用对象,如果可能,尽量减少放入 ViewState 中的对象的数目。例如
,不要使用二维字符串数组(名称/值,其对象的数目与数组的长度一样多),而
应使用两个字符串数组(只有两个对象)。但是,在将两个已知类型存储在
ViewState 中之前,在这两者之间转换不会获得任何性能提高,因为这样做实际上
相当于付出了两次转换的代价。
减少使用 ViewState
默认情况下 ViewState 将被启用,并且是由每个控件(而非页面开发人员)来决
定存储在 ViewState 中的内容。有时,这一信息对应用程序并没有什么用处。尽
管也没什么害处,但却会明显增加发送到浏览器的页面的大小。因此如果不需要使
用 ViewState,最好还是将它关闭,特别是当 ViewState 很大的时候。
可以基于每个控件、每个页面或每个应用程序来关闭 ViewState。在以下情况中将
不再需要 ViewState:
页面 控件
页面不回传给自身。
处理的不是控件的事件。
控件没有动态的或数据绑定的属性值(或对于每一个请求它们都设置在代码中)。
DataGrid 控件是 ViewState 的一个重量级用户。默认情况下,在网格中显示的所
有数据也都存储在 ViewState 中,当需要一个复杂的操作(如复杂的搜索)来获
取数据时,这是非常有用的。但是,DataGrid 的这种行为有时也使得
ViewState 成为累赘。
例如,这里有一个简单的页面就属于上述情况。因为页面不回传给自身,所以它并
不需要 ViewState。
图 3:带有 DataGrid1 的简单页面 LessViewState.aspx
<%@ Import Namespace="System.Data" %>
<html>
<body>
<form runat="server">
<asp:DataGrid runat="server" />
</form>
</body>
</html>
<script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
启用 ViewState 时,这个小网格会给该页面增加 3000 多字节的 HTML 有效负载
!使用 ASP.NET Tracing(英文)或查看发送到浏览器的页面的源代码(如以下代
码所示),可以清楚地看到这一点。
<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx"
id="_ctl0">
<input type="hidden" name="__VIEWSTATE"
value="dDwxNTgzOTU2ODA7dDw7bDxpPDE+Oz47bDx0PDtsPGk8MT47PjtsPHQ8QDA8cDxw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_u56
?cDxsPFRleHQ7PjtsPFdhc2hpbmd0b247Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPERDOz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" />
看!只是禁用了该网格的 ViewState,同一页面的有效负载就大大减少了:
<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx"
id="_ctl0">
<input type="hidden" name="__VIEWSTATE" value="dDwxNTgzOTU2ODA7Oz4="
/>
下面是 Visual Basic 和 C# 的完整的 LessViewState 代码:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>lt;script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>
<script runat="server">
void Page_Load(object sender, EventArgs e) {
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataGrid1.DataSource = ds;
DataGrid1.DataBind();
}
</script>
禁用 ViewState
在上述示例中,我通过将网格的 EnableViewState 属性设置为 False 禁用了
ViewState。可以针对单个控件、整个页面或整个应用程序禁用 ViewState,如下
所示:
每个控件(在标记上) <asp:datagrid EnableViewState="false" ?/>
每个页面(在指令中) <%@ Page EnableViewState="False" ?%>
每个应用程序(在 web.config 中) <Pages EnableViewState="false" ?/>
使 ViewState 更安全
由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其
实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不
会发生变化,而并不考虑应用程序使用的响应/请求编码。
可以向应用程序中添加两种 ViewState 安全级别:
防篡改
加密
需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直
接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为
ViewState 添加安全性。
防篡改
尽管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有
人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输
入的值。
可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追
加一个散列代码:
<%@Page EnableViewStateMAC=true %>
可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在
回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传
值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被
丢弃,同时控件将恢复为原来的设置。
默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可
以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所
示:
<machineKey validation="MD5" />
加密
可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置
EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为
3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。
<machineKey validation="3DES" />
Web 领域中的 ViewState 安全性
默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安
全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器
的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于
Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供
一个唯一的、共享的验证密钥。
验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个
十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计
算机支持)。例如:
<machineKey validation="SHA1" validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />
System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,
使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:
<%@ Page Language="c#" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<HTML>
<body>
<form runat="server">
<H3>生成随机加密密钥</H3>
<P>
<asp:RadioButtonList id="RadioButtonList1"
runat="server" RepeatDirection="Horizontal">
<asp:ListItem Value="40">40-byte</asp:ListItem>
<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>
</asp:RadioButtonList>
<asp:Button id="Button1" runat="server" onclick="GenerateKey"
Text="生成密钥">
</asp:Button>lt;/P>
<P>
<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"
Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
复制并粘贴生成的结果</asp:TextBox>lt;/P>
</form>
</body>
</HTML>
<script runat=server>
void GenerateKey(object sender, System.EventArgs e)
{
int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);
// 在此处放入用于初始化页面的用户代码
byte[] buff = new Byte[keylength/2];
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
// 该数组已使用密码增强的随机字节进行填充
rng.GetBytes(buff);
StringBuilder sb = new StringBuilder(keylength);
int i;
for (i = 0; i < buff.Length; i++) {
sb.Append(String.Format("{0:X2}",buff[i]));
}
// 粘贴到文本框,用户可从中复制
TextBox1.Text = sb.ToString();
}
</script>更多精彩文章及讨论,请光临枫下论坛 rolia.net
作者:白开心 于 2002-2-19 9:13:36
与刚接触 ASP.NET 页面的开发人员交谈时,他们通常向我提出的第一个问题
就是:“那个 ViewState 到底是什么?”他们的语气中流露出的那种感觉,就象
我来到一家异国情调的餐馆,侍者端上一道我从未见过的菜肴时的那种感觉 - 既
疑惑不解,又充满好奇。但肯定有人认为它不错,否则就不会提供了。所以,我会
先尝一尝,或许会喜欢上它,尽管它看上去的确很古怪!
对于 ViewState 也是如此,但是如果适应了它的风格,您会发现在许多情况下,
您将乐于在自己的 ASP.NET 应用程序中使用 ViewState,因为它可以帮助您使用
更少的代码完成更多的工作。但是,有时也会对 ViewState 完全弃之不用。下面
我们就这两种情况分别进行阐述,不过,让我们先回答什么是 ViewState 这个问
题。
答案:ViewState 用于维护页面的 UI 状态
Web 是没有状态的,ASP.NET 页面也没有状态,它们在到服务器的每个往返过程中
被实例化、执行、呈现和处理。作为 Web 开发人员,您可以使用众所周知的技术
(如以会话状态将状态存储在服务器上,或将页面回传到自身)来添加状态。下面
我们以图 1 中的注册窗体为例进行论述。
图 1:恢复回传的窗体值
从上图中可以看出,我为便餐选择了一个无效的值。此窗体与 Web 上的多数窗体
一样友好,它在出现错误的字段旁边显示一条有用的错误消息和一个星号。而且,
窗体中还显示了我在其他文本框和下拉列表中输入的所有有效值。这在某种程度上
是可能的,因为 HTML 窗体元素会在 HTTP 标头中将其当前值从浏览器发送到服务
器。您可以使用 ASP.NET 跟踪来查看回传的窗体值,如图 2 所示。
图 2:HTTP 窗体中回传的值(通过 ASP.NET 跟踪显示)
在 ASP.NET 之前,通过多次回传将值恢复到窗体字段中完全是页面开发人员的责
任,他们将不得不从 HTTP 窗体中逐个拾取回传值,然后再将其推回字段中。幸运
的是,现在 ASP.NET 可以自动完成这项任务,从而为开发人员免除了一项令人厌
烦的工作,同时也无需再为窗体编写大量的代码。但这并不是 ViewState。
ViewState(英文)是一种机制,ASP.NET 使用这种机制来跟踪服务器控件状态值
,否则这些值将不作为 HTTP 窗体的一部分而回传。例如,由 Label 控件显示的
文本默认情况下就保存在 ViewState 中。作为开发人员,您可以绑定数据,或在
首次加载该页面时仅对 Label 编程设置一次,在后续的回传中,该标签文本将自
动从 ViewState 中重新填充。因此,除了可以减少繁琐的工作和代码外,
ViewState 通常还可以减少数据库的往返次数。
ViewState 的工作原理
ViewState 确实没有什么神秘之处,它是由 ASP.NET 页面框架管理的一个隐藏的
窗体字段。当 ASP.NET 执行某个页面时,该页面上的 ViewState 值和所有控件将
被收集并格式化成一个编码字符串,然后被分配给隐藏窗体字段的值属性(即
<input type=hidden>)。由于隐藏窗体字段是发送到客户端的页面的一部分,所
以 ViewState 值被临时存储在客户端的浏览器中。如果客户端选择将该页面回传
给服务器,则 ViewState 字符串也将被回传。在上面的图 2 中可以看到
ViewState 窗体字段及其回传的值。
回传后,ASP.NET 页面框架将解析 ViewState 字符串,并为该页面和各个控件填
充 ViewState 属性。然后,控件再使用 ViewState 数据将自己重新恢复为以前的
状态。
关于 ViewState 还有三个值得注意的小问题。
如果要使用 ViewState,则在 ASPX 页面中必须有一个服务器端窗体标记
(<form runat=server>)。窗体字段是必需的,这样包含 ViewState 信息的隐藏字
段才能回传给服务器。而且,该窗体还必须是服务器端的窗体,这样在服务器上执
行该页面时,ASP.NET 页面框架才能添加隐藏的字段。
页面本身将 20 字节左右的信息保存在 ViewState 中,用于在回传时将 PostBack
数据和 ViewState 值分发给正确的控件。因此,即使该页面或应用程序禁用了
ViewState,仍可以在 ViewState 中看到少量的剩余字节。
在页面不回传的情况下,可以通过省略服务器端的 <form>
ASP.NET ViewState 初探 (2)
作者:白开心 于 2002-2-19 9:14:42
请看下面的示例:要在 Web 页上显示一个项目列表,而每个用户需要不同的列
表排序。项目列表是静态的,因此可以将这些页面绑定到相同的缓存数据集,而排
序顺序只是用户特定的 UI 状态的一小部分。ViewState 非常适合于存储这种类型
的值。代码如下:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState/title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。<br>
单击列标题中的链接,可按该字段排序数据。<br>
再次单击该链接,将按相反顺序排序。
<br>lt;br>lt;br>
<asp:datagrid id="DataGrid1" runat="server"
OnSortCommand="SortGrid" BorderStyle="None" BorderWidth="1px"
BorderColor="#CCCCCC" BackColor="White" CellPadding="5"
AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White"
BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
‘ 在 ViewState 中跟踪 SortField 属性
Property SortField() As String
Get
Dim o As Object = ViewState("SortField")
If o Is Nothing Then
Return String.Empty
End If
Return CStr(o)
End Get
Set(Value As String)
If Value = SortField Then
‘ 与当前排序文件相同,切换排序方向
SortAscending = Not SortAscending
End If
ViewState("SortField") = Value
End Set
End Property
‘ 在 ViewState 中跟踪 SortAscending 属性
Property SortAscending() As Boolean
Get
Dim o As Object = ViewState("SortAscending")
If o Is Nothing Then
Return True
End If
Return CBool(o)
End Get
Set(Value As Boolean)
ViewState("SortAscending") = Value
End Set
End Property
Private Sub Page_Load(sender As Object, e As EventArgs) Handles MyBase.
Load
If Not Page.IsPostBack Then
BindGrid()
End If
End Sub
Sub BindGrid()
‘ 获取数据
Dim ds As New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
Dim dv As New DataView(ds.Tables(0))
‘ 应用排序过滤器和方向
dv.Sort = SortField
If Not SortAscending Then
dv.Sort += " DESC"
End If
‘ 绑定网格
DataGrid1.DataSource = dv
DataGrid1.DataBind()
End Sub
Private Sub SortGrid(sender As Object, e As
DataGridSortCommandEventArgs)
DataGrid1.CurrentPageIndex = 0
SortField = e.SortExpression
BindGrid()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState</title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。<br>
单击列标题中的链接,可按该字段排序数据。<br>
再次单击该链接,将按相反顺序排序。
<br>lt;br>lt;br>
<asp:datagrid id="DataGrid1" runat="server" OnSortCommand="SortGrid"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
// 在 ViewState 中跟踪 SortField 属性
string SortField {
get {
object o = ViewState["SortField"];
if (o == null) {
return String.Empty;
}
return (string)o;
}
set {
if (value == SortField) {
// 与当前排序文件相同,切换排序方向
SortAscending = !SortAscending;
}
ViewState["SortField"] = value;
}
}
// 在 ViewState 中跟踪 SortAscending 属性
bool SortAscending {
get {
object o = ViewState["SortAscending"];
if (o == null) {
return true;
}
return (bool)o;
}
set {
ViewState["SortAscending"] = value;
}
}
void Page_Load(object sender, EventArgs e) {
if (!Page.IsPostBack) {
BindGrid();
}
}
void BindGrid() {
// 获取数据
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataView dv = new DataView(ds.Tables[0]);
// 应用排序过滤器和方向
dv.Sort = SortField;
if (!SortAscending) {
dv.Sort += " DESC";
}
// 绑定网格
DataGrid1.DataSource = dv;
DataGrid1.DataBind();
}
void SortGrid(object sender, DataGridSortCommandEventArgs e) {
DataGrid1.CurrentPageIndex = 0;
SortField = e.SortExpression;
BindGrid();
}
</script>
下面是上述两个代码段中引用的 testdata.xml 的代码:
<?xml version="1.0" standalone="yes"?>
<NewDataSet>
<Table>
<pub_id>0736</pub_id>
<pub_name>New Moon Books</pub_name>
<city>Boston</city>
<state>MA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>0877</pub_id>
<pub_name>Binnet & Hardley</pub_name>
<city>Washington</city>
<state>DC</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1389</pub_id>
<pub_name>Algodata Infosystems</pub_name>
<city>Berkeley</city>
<state>CA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1622</pub_id>
<pub_name>Five Lakes Publishing</pub_name>
<city>Chicago</city>
<state>IL</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1756</pub_id>
<pub_name>Ramona Publishers</pub_name>
<city>Dallas</city>
<state>TX</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9901</pub_id>
<pub_name>GGG&G</pub_name>
<city>Muenchen</city>
<country>Germany</country>
</Table>
<Table>
<pub_id>9952</pub_id>
<pub_name>Scootney Books</pub_name>
<city>New York</city>
<state>NY</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9999</pub_id>
<pub_name>Lucerne Publishing</pub_name>
<city>Paris</city>
<country>France</country>
</Table>
</NewDataSet>
ASP.NET ViewState 初探 (3)
作者:白开心 于 2002-2-19 9:15:39
选择会话状态还是 ViewState?
在某些情况下,将状态值保存在 ViewState 中并不是最佳选择,最常用的替代方
法就是会话状态,它通常更适用于:
大量的数据。由于 ViewState 增加了发送到浏览器的页面的大小(HTML 有效负载
),同时也增加了回传的窗体的大小,因此不适合存储大量数据。
未在 UI 中显示的安全数据。尽管 ViewState 数据已被编码,并且可以选择对其
进行加密,但始终不将数据发送到客户端才是最安全的。因此,会话是更安全的选
择。(由于数据库需要额外的凭据进行验证,因此将数据存储在数据库中会更安全
。可以添加 SSL 以获得更安全的链接。)但是,如果在 UI 中已经显示了该专用
数据,那么您应该已经确认了链接的安全性。在这种情况下,将同样的值放入
ViewState 不会降低安全性。
尚未序列化到 ViewState 中的对象,如 DataSet。ViewState 序列化程序只为一
小部分常用的对象类型进行了优化,如下所示。其他可序列化的类型或许可以保留
在 ViewState 中,但速度会变慢,并会生成一个非常大的 ViewState。
会话状态 ViewState
是否使用服务器资源? 是 否
是否超时? 是,20 分钟后(默认) 否
是否存储所有 .NET 类型? 是 否,仅支持:String、Integer、Boolean、Array
、ArrayList、Hashtable 和自定义 TypeConverter
是否增加“HTML 有效负载”? 否 是
使用 ViewState 获得最佳性能
使用 ViewState 时,每个对象都必须先序列化到 ViewState 中,然后再通过回传
进行反序列化,因此使用 ViewState 并非是没有代价的。但是,如果遵循某些简
单的原则对 ViewState 的成本加以控制,则通常不会产生明显的性能影响。
在不需要时禁用 ViewState。下面的“减少使用 ViewState”一节将详细介绍这一
问题。
使用优化过的 ViewState 序列化程序。上面列出的类型具有专门的序列化程序,
这些程序运行速度很快,并已经过优化,可以生成很小的 ViewState。如果要序列
化一个未在上面列出的类型,可以创建一个自定义 TypeConverter 来显著提高它
的性能。
尽量减少使用对象,如果可能,尽量减少放入 ViewState 中的对象的数目。例如
,不要使用二维字符串数组(名称/值,其对象的数目与数组的长度一样多),而
应使用两个字符串数组(只有两个对象)。但是,在将两个已知类型存储在
ViewState 中之前,在这两者之间转换不会获得任何性能提高,因为这样做实际上
相当于付出了两次转换的代价。
减少使用 ViewState
默认情况下 ViewState 将被启用,并且是由每个控件(而非页面开发人员)来决
定存储在 ViewState 中的内容。有时,这一信息对应用程序并没有什么用处。尽
管也没什么害处,但却会明显增加发送到浏览器的页面的大小。因此如果不需要使
用 ViewState,最好还是将它关闭,特别是当 ViewState 很大的时候。
可以基于每个控件、每个页面或每个应用程序来关闭 ViewState。在以下情况中将
不再需要 ViewState:
页面 控件
页面不回传给自身。
处理的不是控件的事件。
控件没有动态的或数据绑定的属性值(或对于每一个请求它们都设置在代码中)。
DataGrid 控件是 ViewState 的一个重量级用户。默认情况下,在网格中显示的所
有数据也都存储在 ViewState 中,当需要一个复杂的操作(如复杂的搜索)来获
取数据时,这是非常有用的。但是,DataGrid 的这种行为有时也使得
ViewState 成为累赘。
例如,这里有一个简单的页面就属于上述情况。因为页面不回传给自身,所以它并
不需要 ViewState。
图 3:带有 DataGrid1 的简单页面 LessViewState.aspx
<%@ Import Namespace="System.Data" %>
<html>
<body>
<form runat="server">
<asp:DataGrid runat="server" />
</form>
</body>
</html>
<script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
启用 ViewState 时,这个小网格会给该页面增加 3000 多字节的 HTML 有效负载
!使用 ASP.NET Tracing(英文)或查看发送到浏览器的页面的源代码(如以下代
码所示),可以清楚地看到这一点。
<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx"
id="_ctl0">
<input type="hidden" name="__VIEWSTATE"
value="dDwxNTgzOTU2ODA7dDw7bDxpPDE+Oz47bDx0PDtsPGk8MT47PjtsPHQ8QDA8cDxw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_u56
?cDxsPFRleHQ7PjtsPFdhc2hpbmd0b247Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPERDOz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" />
看!只是禁用了该网格的 ViewState,同一页面的有效负载就大大减少了:
<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx"
id="_ctl0">
<input type="hidden" name="__VIEWSTATE" value="dDwxNTgzOTU2ODA7Oz4="
/>
下面是 Visual Basic 和 C# 的完整的 LessViewState 代码:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>lt;script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>
<script runat="server">
void Page_Load(object sender, EventArgs e) {
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataGrid1.DataSource = ds;
DataGrid1.DataBind();
}
</script>
禁用 ViewState
在上述示例中,我通过将网格的 EnableViewState 属性设置为 False 禁用了
ViewState。可以针对单个控件、整个页面或整个应用程序禁用 ViewState,如下
所示:
每个控件(在标记上) <asp:datagrid EnableViewState="false" ?/>
每个页面(在指令中) <%@ Page EnableViewState="False" ?%>
每个应用程序(在 web.config 中) <Pages EnableViewState="false" ?/>
使 ViewState 更安全
由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其
实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不
会发生变化,而并不考虑应用程序使用的响应/请求编码。
可以向应用程序中添加两种 ViewState 安全级别:
防篡改
加密
需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直
接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为
ViewState 添加安全性。
防篡改
尽管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有
人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输
入的值。
可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追
加一个散列代码:
<%@Page EnableViewStateMAC=true %>
可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在
回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传
值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被
丢弃,同时控件将恢复为原来的设置。
默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可
以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所
示:
<machineKey validation="MD5" />
加密
可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置
EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为
3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。
<machineKey validation="3DES" />
Web 领域中的 ViewState 安全性
默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安
全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器
的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于
Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供
一个唯一的、共享的验证密钥。
验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个
十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计
算机支持)。例如:
<machineKey validation="SHA1" validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />
System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,
使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:
<%@ Page Language="c#" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<HTML>
<body>
<form runat="server">
<H3>生成随机加密密钥</H3>
<P>
<asp:RadioButtonList id="RadioButtonList1"
runat="server" RepeatDirection="Horizontal">
<asp:ListItem Value="40">40-byte</asp:ListItem>
<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>
</asp:RadioButtonList>
<asp:Button id="Button1" runat="server" onclick="GenerateKey"
Text="生成密钥">
</asp:Button>lt;/P>
<P>
<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"
Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
复制并粘贴生成的结果</asp:TextBox>lt;/P>
</form>
</body>
</HTML>
<script runat=server>
void GenerateKey(object sender, System.EventArgs e)
{
int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);
// 在此处放入用于初始化页面的用户代码
byte[] buff = new Byte[keylength/2];
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
// 该数组已使用密码增强的随机字节进行填充
rng.GetBytes(buff);
StringBuilder sb = new StringBuilder(keylength);
int i;
for (i = 0; i < buff.Length; i++) {
sb.Append(String.Format("{0:X2}",buff[i]));
}
// 粘贴到文本框,用户可从中复制
TextBox1.Text = sb.ToString();
}
</script>更多精彩文章及讨论,请光临枫下论坛 rolia.net