ASP.NET ViewState 初探 (3) 转自msdn
2024-07-10 12:58:36
供稿:网友
本文来源于网页设计爱好者web开发社区http://www.html.org.cn收集整理,欢迎访问。选择会话状态还是 viewstate?
在某些情况下,将状态值保存在 viewstate 中并不是最佳选择,最常用的替代方法就是会话状态,它通常更适用于:
大量的数据。由于 viewstate 增加了发送到浏览器的页面的大小(html 有效负载),同时也增加了回传的窗体的大小,因此不适合存储大量数据。
未在 ui 中显示的安全数据。尽管 viewstate 数据已被编码,并且可以选择对其进行加密,但始终不将数据发送到客户端才是最安全的。因此,会话是更安全的选择。(由于数据库需要额外的凭据进行验证,因此将数据存储在数据库中会更安全。可以添加 ssl 以获得更安全的链接。)但是,如果在 ui 中已经显示了该专用数据,那么您应该已经确认了链接的安全性。在这种情况下,将同样的值放入 viewstate 不会降低安全性。
尚未序列化到 viewstate 中的对象,如 dataset。viewstate 序列化程序只为一小部分常用的对象类型进行了优化,如下所示。其他可序列化的类型或许可以保留在 viewstate 中,但速度会变慢,并会生成一个非常大的 viewstate。
会话状态 viewstate
是否使用服务器资源? 是 否
是否超时? 是,20 分钟后(默认) 否
是否存储所有 .net 类型? 是 否,仅支持:string、integer、boolean、array、arraylist、hashtable 和自定义 typeconverter
是否增加“html 有效负载”? 否 是
使用 viewstate 获得最佳性能
使用 viewstate 时,每个对象都必须先序列化到 viewstate 中,然后再通过回传进行反序列化,因此使用 viewstate 并非是没有代价的。但是,如果遵循某些简单的原则对 viewstate 的成本加以控制,则通常不会产生明显的性能影响。
在不需要时禁用 viewstate。下面的“减少使用 viewstate”一节将详细介绍这一问题。
使用优化过的 viewstate 序列化程序。上面列出的类型具有专门的序列化程序,这些程序运行速度很快,并已经过优化,可以生成很小的 viewstate。如果要序列化一个未在上面列出的类型,可以创建一个自定义 typeconverter 来显著提高它的性能。
尽量减少使用对象,如果可能,尽量减少放入 viewstate 中的对象的数目。例如,不要使用二维字符串数组(名称/值,其对象的数目与数组的长度一样多),而应使用两个字符串数组(只有两个对象)。但是,在将两个已知类型存储在 viewstate 中之前,在这两者之间转换不会获得任何性能提高,因为这样做实际上相当于付出了两次转换的代价。
减少使用 viewstate
默认情况下 viewstate 将被启用,并且是由每个控件(而非页面开发人员)来决定存储在 viewstate 中的内容。有时,这一信息对应用程序并没有什么用处。尽管也没什么害处,但却会明显增加发送到浏览器的页面的大小。因此如果不需要使用 viewstate,最好还是将它关闭,特别是当 viewstate 很大的时候。
可以基于每个控件、每个页面或每个应用程序来关闭 viewstate。在以下情况中将不再需要 viewstate:
页面 控件
页面不回传给自身。
处理的不是控件的事件。
控件没有动态的或数据绑定的属性值(或对于每一个请求它们都设置在代码中)。
datagrid 控件是 viewstate 的一个重量级用户。默认情况下,在网格中显示的所有数据也都存储在 viewstate 中,当需要一个复杂的操作(如复杂的搜索)来获取数据时,这是非常有用的。但是,datagrid 的这种行为有时也使得 viewstate 成为累赘。
例如,这里有一个简单的页面就属于上述情况。因为页面不回传给自身,所以它并不需要 viewstate。
图 3:带有 datagrid1 的简单页面 lessviewstate.aspx
<%@ import namespace="system.data" %>
<html>
<body>
<form runat="server">
<asp:datagrid runat="server" />
</form>
</body>
</html>
<script runat="server">
private sub page_load(sender as object, e as eventargs)
dim ds as new dataset()
ds.readxml(server.mappath("testdata.xml"))
datagrid1.datasource = ds
datagrid1.databind()
end sub
</script>
启用 viewstate 时,这个小网格会给该页面增加 3000 多字节的 html 有效负载!使用 asp.net tracing(英文)或查看发送到浏览器的页面的源代码(如以下代码所示),可以清楚地看到这一点。
<html>
<head>
<title>减少页面的“html 有效负载”</title>
</head>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__viewstate"
value="ddwxntgzotu2oda7ddw7bdxppde+oz47bdx0pdtspgk8mt47pjtsphq8qda8cdxw
pgw8ugfnzunvdw50o18hsxrlbunvdw50o18hrgf0yvnvdxjjzul0zw1db3vuddteyxrhs2v
5czs+o2w8atwxpjtppdg+o2k8od47bdw+oz4+oz47ozs7ozs7oztamdxamdxwpgw8sgvhzg
vyvgv4ddteyxrhrmllbgq7u29ydev4chjlc3npb247umvhze9ubhk7pjtsphb1yl9pzdtwd
wjfawq7chvix2lko288zj47pj47ozs7pjtamdxwpgw8sgvhzgvyvgv4ddteyxrhrmllbgq7
u29ydev4chjlc3npb247umvhze9ubhk7pjtsphb1yl9uyw1lo3b1yl9uyw1lo3b1yl9uyw1
lo288zj47pj47ozs7pjtamdxwpgw8sgvhzgvyvgv4ddteyxrhrmllbgq7u29ydev4chjlc3
npb247umvhze9ubhk7pjtspgnpdhk7y2l0ettjaxr5o288zj47pj47ozs7pjtamdxwpgw8s
gvhzgvyvgv4ddteyxrhrmllbgq7u29ydev4chjlc3npb247umvhze9ubhk7pjtsphn0yxrl
o3n0yxrlo3n0yxrlo288zj47pj47ozs7pjtamdxwpgw8sgvhzgvyvgv4ddteyxrhrmllbgq
7u29ydev4chjlc3npb247umvhze9ubhk7pjtspgnvdw50cnk7y291bnryettjb3vudhj5o2
88zj47pj47ozs7pjs+oz47bdxppda+oz47bdx0pdtspgk8mt47atwypjtppdm+o2k8nd47a
tw1pjtppdy+o2k8nz47atw4pjs+o2w8ddw7bdxppda+o2k8mt47atwypjtppdm+o2k8nd47
pjtsphq8cdxwpgw8vgv4dds+o2w8mdcznjs+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8tmv
3ie1vb24gqm9va3m7pj47pjs7pjt0pha8cdxspfrlehq7pjtspejvc3rvbjs+pjs+ozs+o3
q8cdxwpgw8vgv4dds+o2w8tue7pj47pjs7pjt0pha8cdxspfrlehq7pjtspfvtqts+pjs+o
zs+oz4+o3q8o2w8atwwpjtppde+o2k8mj47atwzpjtppdq+oz47bdx0pha8cdxspfrlehq7
pjtspda4nzc7pj47pjs7pjt0pha8cdxspfrlehq7pjtspejpbm5ldcamiehhcmrszxk7pj4
7pjs7pjt0ph_u56 ?cdxspfrlehq7pjtspfdhc2hpbmd0b247pj47pjs7pjt0pha8cdxspfrlehq7pjtsperdoz
4+oz47oz47ddxwpha8bdxuzxh0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxp
jtppdi+o2k8mz47atw0pjs+o2w8ddxwpha8bdxuzxh0oz47bdwxmzg5oz4+oz47oz47ddxw
pha8bdxuzxh0oz47bdxbbgdvzgf0ysbjbmzvc3lzdgvtczs+pjs+ozs+o3q8cdxwpgw8vgv
4dds+o2w8qmvya2vszxk7pj47pjs7pjt0pha8cdxspfrlehq7pjtspenboz4+oz47oz47dd
xwpha8bdxuzxh0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxpjtppdi+o2k8m
z47atw0pjs+o2w8ddxwpha8bdxuzxh0oz47bdwxnjiyoz4+oz47oz47ddxwpha8bdxuzxh0
oz47bdxgaxzliexha2vzifb1ymxpc2hpbmc7pj47pjs7pjt0pha8cdxspfrlehq7pjtspen
oawnhz287pj47pjs7pjt0pha8cdxspfrlehq7pjtspelmoz4+oz47oz47ddxwpha8bdxuzx
h0oz47bdxvu0e7pj47pjs7pjs+pjt0pdtspgk8md47atwxpjtppdi+o2k8mz47atw0pjs+o
2w8ddxwpha8bdxuzxh0oz47bdwxnzu2oz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxsyw1v
bmeguhvibglzagvyczs+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8rgfsbgfzoz4+oz47oz4
7ddxwpha8bdxuzxh0oz47bdxuwds+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8vvnboz4+oz
47oz47pj47ddw7bdxppda+o2k8mt47atwypjtppdm+o2k8nd47pjtsphq8cdxwpgw8vgv4d
ds+o2w8otkwmts+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8r0dhjkc7pj47pjs7pjt0pha8
cdxspfrlehq7pjtspe3dvg5jagvuoz4+oz47oz47ddxwpha8bdxuzxh0oz47bdwmbmjzcfw
7oz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxhzxjtyw55oz4+oz47oz47pj47ddw7bdxppd
a+o2k8mt47atwypjtppdm+o2k8nd47pjtsphq8cdxwpgw8vgv4dds+o2w8otk1mjs+pjs+o
zs+o3q8cdxwpgw8vgv4dds+o2w8u2nvb3ruzxkgqm9va3m7pj47pjs7pjt0pha8cdxspfrl
ehq7pjtspe5ldybzb3jroz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxowts+pjs+ozs+o3q
8cdxwpgw8vgv4dds+o2w8vvnboz4+oz47oz47pj47ddw7bdxppda+o2k8mt47atwypjtppd
m+o2k8nd47pjtsphq8cdxwpgw8vgv4dds+o2w8otk5ots+pjs+ozs+o3q8cdxwpgw8vgv4d
ds+o2w8thvjzxjuzsbqdwjsaxnoaw5noz4+oz47oz47ddxwpha8bdxuzxh0oz47bdxqyxjp
czs+pjs+ozs+o3q8cdxwpgw8vgv4dds+o2w8jm5ic3bcozs+pjs+ozs+o3q8cdxwpgw8vgv
4dds+o2w8rnjhbmnloz4+oz47oz47pj47pj47pj47pj47pj47pg==" />
看!只是禁用了该网格的 viewstate,同一页面的有效负载就大大减少了:
<html>
<head>
<title>减少页面的“html 有效负载”</title>
</head>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__viewstate" value="ddwxntgzotu2oda7oz4=" />
下面是 visual basic 和 c# 的完整的 lessviewstate 代码:
[visual basic]
<%@ import namespace="system.data" %>
<html>
<head>
<title>减少页面的“html 有效负载”</title>
</head>
<body>
<form runat="server">
<h3>
通过禁用 viewstate 来减少页面的“html 有效负载”
</h3>
<p>
<asp:datagrid id="datagrid1" runat="server" enableviewstate="false"
borderstyle="none" borderwidth="1px" bordercolor="#cccccc"
backcolor="white" cellpadding="5">
<headerstyle font-bold="true" forecolor="white" backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html><script runat="server">
private sub page_load(sender as object, e as eventargs)
dim ds as new dataset()
ds.readxml(server.mappath("testdata.xml"))
datagrid1.datasource = ds
datagrid1.databind()
end sub
</script>
[c#]
<%@ page language="c#" %>
<%@ import namespace="system.data" %>
<html>
<head>
<title>减少页面的“html 有效负载”</title>
</head>
<body>
<form runat="server">
<h3>
通过禁用 viewstate 来减少页面的“html 有效负载”
</h3>
<p>
<asp:datagrid id="datagrid1" runat="server" enableviewstate="false"
borderstyle="none" borderwidth="1px" bordercolor="#cccccc"
backcolor="white" cellpadding="5">
<headerstyle font-bold="true" forecolor="white" backcolor="#006699">
</headerstyle>
</asp:datagrid>
</p>
</form>
</body>
</html>
<script runat="server">
void page_load(object sender, eventargs e) {
dataset ds = new dataset();
ds.readxml(server.mappath("testdata.xml"));
datagrid1.datasource = ds;
datagrid1.databind();
}
</script>
禁用 viewstate
在上述示例中,我通过将网格的 enableviewstate 属性设置为 false 禁用了 viewstate。可以针对单个控件、整个页面或整个应用程序禁用 viewstate,如下所示:
每个控件(在标记上) <asp:datagrid enableviewstate="false" ?/>
每个页面(在指令中) <%@ page enableviewstate="false" ?%>
每个应用程序(在 web.config 中) <pages enableviewstate="false" ?/>
使 viewstate 更安全
由于 viewstate 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,viewstate 只是进行了 base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。
可以向应用程序中添加两种 viewstate 安全级别:
防篡改
加密
需要注意的是,viewstate 安全性对于处理和呈现 asp.net 页面所需的时间有直接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为 viewstate 添加安全性。
防篡改
尽管散列代码不能确保 viewstate 字段中实际数据的安全,但它能够显著降低有人通过 viewstate 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输入的值。
可以通过设置 enableviewstatemac 属性来指示 asp.net 向 viewstate 字段中追加一个散列代码:
<%@page enableviewstatemac=true %>
可以在页面级别上设置 enableviewstatemac,也可以在应用程序级别上设置。在回传时,asp.net 将为 viewstate 数据生成一个散列代码,并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配,该 viewstate 数据将被丢弃,同时控件将恢复为原来的设置。
默认情况下,asp.net 使用 sha1 算法来生成 viewstate 散列代码。此外,也可以通过在 machine.config 文件中设置 <machinekey> 来选择 md5 算法,如下所示:
<machinekey validation="md5" />
加密
可以使用加密来保护 viewstate 字段中的实际数据值。首先,必须如上所述设置 enableviewstatmac="true"。然后,将 machinekey validation 类型设置为 3des。这将指示 asp.net 使用 triple des 对称加密算法来加密 viewstate 值。
<machinekey validation="3des" />
web 领域中的 viewstate 安全性
默认情况下,asp.net 将创建一个随机的验证密钥,并存储在每个服务器的本地安全授权 (lsa) 中。要验证在另一台服务器上创建的 viewstate 字段,两台服务器的 validationkey 必须设置为相同的值。如果要通过上述方式之一,对运行于 web 领域配置中的应用程序进行 viewstate 安全设置,则需要为所有服务器提供一个唯一的、共享的验证密钥。
验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计算机支持)。例如:
<machinekey validation="sha1" validationkey="
f3690e7a3143c185ab1089616a8b4d81fd55dd7a69eeaa3b32a6ae813eceecd28dea66a
23bee42193729bd48595ebafe2c2e765be77e006330bc3b1392d7c73f" />
system.security.cryptography 名称空间包括 rngcryptoserviceprovider 类,使用该类可以生成此字符串,如以下 generatecryptokey.aspx 示例所示:
<%@ page language="c#" %>
<%@ import namespace="system.security.cryptography" %>
<html>
<body>
<form runat="server">
<h3>生成随机加密密钥</h3>
<p>
<asp:radiobuttonlist id="radiobuttonlist1"
runat="server" repeatdirection="horizontal">
<asp:listitem value="40">40-byte</asp:listitem>
<asp:listitem value="128" selected="true">128-byte</asp:listitem>
</asp:radiobuttonlist>
<asp:button id="button1" runat="server" onclick="generatekey"
text="生成密钥">
</asp:button></p>
<p>
<asp:textbox id="textbox1" runat="server" textmode="multiline"
rows="10" columns="70" backcolor="#eeeeee" enableviewstate="false">
复制并粘贴生成的结果</asp:textbox></p>
</form>
</body>
</html>
<script runat=server>
void generatekey(object sender, system.eventargs e)
{
int keylength = int32.parse(radiobuttonlist1.selecteditem.value);
// 在此处放入用于初始化页面的用户代码
byte[] buff = new byte[keylength/2];
rngcryptoserviceprovider rng = new rngcryptoserviceprovider();
// 该数组已使用密码增强的随机字节进行填充
rng.getbytes(buff);
stringbuilder sb = new stringbuilder(keylength);
int i;
for (i = 0; i < buff.length; i++) {
sb.append(string.format("{0:x2}",buff[i]));
}
// 粘贴到文本框,用户可从中复制
textbox1.text = sb.tostring();
}
</script>
总结
asp.net viewstate 是一种新的状态服务,可供开发人员基于每个用户来跟踪 ui 状态。viewstate 没有什么神秘之处,它只是利用了一个老的 web 编程技巧:在一个隐藏的窗体字段中来回传递状态,并将它直接应用于页面处理框架中。但效果却非常好 - 在基于 web 的窗体中只需编写并维护很少的代码。
用户可能并不总是需要它,但我想您在需要它的时候会发现,viewstate 是提供给页面开发人员的诸多 asp.net 新功能中非常令人满意的一种功能。
