Susan Warren
Microsoft Corporation
2001 年 11 月 27 日
與剛接觸 ASP.NET 頁(yè)面的開發(fā)人員交談時(shí),他們通常向我提出的第一個(gè)問題就是:“那個(gè) ViewState 到底是什么?”他們的語(yǔ)氣中流露出的那種感覺,就象我來(lái)到一家異國(guó)情調(diào)的餐館,侍者端上一道我從未見過的菜肴時(shí)的那種感覺 - 既疑惑不解,又充滿好奇。但肯定有人認(rèn)為它不錯(cuò),否則就不會(huì)提供了。所以,我會(huì)先嘗一嘗,或許會(huì)喜歡上它,盡管它看上去的確很古怪!
對(duì)于 ViewState 也是如此,但是如果適應(yīng)了它的風(fēng)格,您會(huì)發(fā)現(xiàn)在許多情況下,您將樂于在自己的 ASP.NET 應(yīng)用程序中使用 ViewState,因?yàn)樗梢詭椭褂酶俚拇a完成更多的工作。但是,有時(shí)也會(huì)對(duì) ViewState 完全棄之不用。下面我們就這兩種情況分別進(jìn)行闡述,不過,讓我們先回答什么是 ViewState 這個(gè)問題。
答案:ViewState 用于維護(hù)頁(yè)面的 UI 狀態(tài)
Web 是沒有狀態(tài)的,ASP.NET 頁(yè)面也沒有狀態(tài),它們?cè)诘椒?wù)器的每個(gè)往返過程中被實(shí)例化、執(zhí)行、呈現(xiàn)和處理。作為 Web 開發(fā)人員,您可以使用眾所周知的技術(shù)(如以會(huì)話狀態(tài)將狀態(tài)存儲(chǔ)在服務(wù)器上,或?qū)㈨?yè)面回傳到自身)來(lái)添加狀態(tài)。下面我們以圖 1 中的注冊(cè)窗體為例進(jìn)行論述。
圖 1:恢復(fù)回傳的窗體值
從上圖中可以看出,我為便餐選擇了一個(gè)無(wú)效的值。此窗體與 Web 上的多數(shù)窗體一樣友好,它在出現(xiàn)錯(cuò)誤的字段旁邊顯示一條有用的錯(cuò)誤消息和一個(gè)星號(hào)。而且,窗體中還顯示了我在其他文本框和下拉列表中輸入的所有有效值。這在某種程度上是可能的,因?yàn)?HTML 窗體元素會(huì)在 HTTP 標(biāo)頭中將其當(dāng)前值從瀏覽器發(fā)送到服務(wù)器。您可以使用 ASP.NET 跟蹤來(lái)查看回傳的窗體值,如圖 2 所示。
圖 2:HTTP 窗體中回傳的值(通過 ASP.NET 跟蹤顯示)
在 ASP.NET 之前,通過多次回傳將值恢復(fù)到窗體字段中完全是頁(yè)面開發(fā)人員的責(zé)任,他們將不得不從 HTTP 窗體中逐個(gè)拾取回傳值,然后再將其推回字段中。幸運(yùn)的是,現(xiàn)在 ASP.NET 可以自動(dòng)完成這項(xiàng)任務(wù),從而為開發(fā)人員免除了一項(xiàng)令人厭煩的工作,同時(shí)也無(wú)需再為窗體編寫大量的代碼。但這并不是 ViewState。
ViewState(英文)是一種機(jī)制,ASP.NET 使用這種機(jī)制來(lái)跟蹤服務(wù)器控件狀態(tài)值,否則這些值將不作為 HTTP 窗體的一部分而回傳。例如,由 Label 控件顯示的文本默認(rèn)情況下就保存在 ViewState 中。作為開發(fā)人員,您可以綁定數(shù)據(jù),或在首次加載該頁(yè)面時(shí)僅對(duì) Label 編程設(shè)置一次,在后續(xù)的回傳中,該標(biāo)簽文本將自動(dòng)從 ViewState 中重新填充。因此,除了可以減少繁瑣的工作和代碼外,ViewState 通常還可以減少數(shù)據(jù)庫(kù)的往返次數(shù)。
ViewState 的工作原理
ViewState 確實(shí)沒有什么神秘之處,它是由 ASP.NET 頁(yè)面框架管理的一個(gè)隱藏的窗體字段。當(dāng) ASP.NET 執(zhí)行某個(gè)頁(yè)面時(shí),該頁(yè)面上的 ViewState 值和所有控件將被收集并格式化成一個(gè)編碼字符串,然后被分配給隱藏窗體字段的值屬性(即 <input type=hidden>)。由于隱藏窗體字段是發(fā)送到客戶端的頁(yè)面的一部分,所以 ViewState 值被臨時(shí)存儲(chǔ)在客戶端的瀏覽器中。如果客戶端選擇將該頁(yè)面回傳給服務(wù)器,則 ViewState 字符串也將被回傳。在上面的圖 2 中可以看到 ViewState 窗體字段及其回傳的值。
回傳后,ASP.NET 頁(yè)面框架將解析 ViewState 字符串,并為該頁(yè)面和各個(gè)控件填充 ViewState 屬性。然后,控件再使用 ViewState 數(shù)據(jù)將自己重新恢復(fù)為以前的狀態(tài)。
關(guān)于 ViewState 還有三個(gè)值得注意的小問題。
- 如果要使用 ViewState,則在 ASPX 頁(yè)面中必須有一個(gè)服務(wù)器端窗體標(biāo)記 (<form runat=server>)。窗體字段是必需的,這樣包含 ViewState 信息的隱藏字段才能回傳給服務(wù)器。而且,該窗體還必須是服務(wù)器端的窗體,這樣在服務(wù)器上執(zhí)行該頁(yè)面時(shí),ASP.NET 頁(yè)面框架才能添加隱藏的字段。
- 頁(yè)面本身將 20 字節(jié)左右的信息保存在 ViewState 中,用于在回傳時(shí)將 PostBack 數(shù)據(jù)和 ViewState 值分發(fā)給正確的控件。因此,即使該頁(yè)面或應(yīng)用程序禁用了 ViewState,仍可以在 ViewState 中看到少量的剩余字節(jié)。
- 在頁(yè)面不回傳的情況下,可以通過省略服務(wù)器端的 <form> 標(biāo)記來(lái)去除頁(yè)面中的 ViewState。
充分利用 ViewState
ViewState 為跨回傳跟蹤控件的狀態(tài)提供了一條神奇的途徑,因?yàn)樗皇褂梅?wù)器資源、不會(huì)超時(shí),并且適用于任何瀏覽器。如果您要編寫控件,那么肯定需要了解如何在控件中維護(hù)狀態(tài)(英文)。
開發(fā)人員在編寫頁(yè)面時(shí)同樣可以按照幾乎相同的方式來(lái)利用 ViewState,只是有時(shí)頁(yè)面會(huì)包含不由控件存儲(chǔ)的 UI 狀態(tài)值。您可以跟蹤 ViewState 中的值,使用的編程語(yǔ)法與會(huì)話和高速緩存的語(yǔ)法類似:
[Visual Basic]
' 保存在 ViewState 中
ViewState("SortOrder") = "DESC"
' 從 ViewState 中讀取
Dim SortOrder As String = CStr(ViewState("SortOrder"))
[C#]
// 保存在 ViewState 中
ViewState["SortOrder"] = "DESC";
// 從 ViewState 中讀取
string sortOrder = (string)ViewState["SortOrder"];
請(qǐng)看下面的示例:要在 Web 頁(yè)上顯示一個(gè)項(xiàng)目列表,而每個(gè)用戶需要不同的列表排序。項(xiàng)目列表是靜態(tài)的,因此可以將這些頁(yè)面綁定到相同的緩存數(shù)據(jù)集,而排序順序只是用戶特定的 UI 狀態(tài)的一小部分。ViewState 非常適合于存儲(chǔ)這種類型的值。代碼如下:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于頁(yè)面 UI 狀態(tài)值的 ViewState/title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存儲(chǔ)非控件狀態(tài)
</H3>
<P>
此示例將一列靜態(tài)數(shù)據(jù)的當(dāng)前排序順序存儲(chǔ)在 ViewState 中。<br>
單擊列標(biāo)題中的鏈接,可按該字段排序數(shù)據(jù)。<br>
再次單擊該鏈接,將按相反順序排序。
<br><br><br>
<asp:datagrid id="DataGrid1" runat="server"
OnSortCommand="SortGrid" BorderStyle="None" BorderWidth="1px"
BorderColor="#CCCCCC" BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White"
BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
' 在 ViewState 中跟蹤 SortField 屬性
Property SortField() As String
Get
Dim o As Object = ViewState("SortField")
If o Is Nothing Then
Return String.Empty
End If
Return CStr(o)
End Get
Set(Value As String)
If Value = SortField Then
' 與當(dāng)前排序文件相同,切換排序方向
SortAscending = Not SortAscending
End If
ViewState("SortField") = Value
End Set
End Property
' 在 ViewState 中跟蹤 SortAscending 屬性
Property SortAscending() As Boolean
Get
Dim o As Object = ViewState("SortAscending")
If o Is Nothing Then
Return True
End If
Return CBool(o)
End Get
Set(Value As Boolean)
ViewState("SortAscending") = Value
End Set
End Property
Private Sub Page_Load(sender As Object, e As EventArgs) Handles MyBase.Load
If Not Page.IsPostBack Then
BindGrid()
End If
End Sub
Sub BindGrid()
' 獲取數(shù)據(jù)
Dim ds As New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
Dim dv As New DataView(ds.Tables(0))
' 應(yīng)用排序過濾器和方向
dv.Sort = SortField
If Not SortAscending Then
dv.Sort += " DESC"
End If
' 綁定網(wǎng)格
DataGrid1.DataSource = dv
DataGrid1.DataBind()
End Sub
Private Sub SortGrid(sender As Object, e As DataGridSortCommandEventArgs)
DataGrid1.CurrentPageIndex = 0
SortField = e.SortExpression
BindGrid()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于頁(yè)面 UI 狀態(tài)值的 ViewState</title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存儲(chǔ)非控件狀態(tài)
</H3>
<P>
此示例將一列靜態(tài)數(shù)據(jù)的當(dāng)前排序順序存儲(chǔ)在 ViewState 中。<br>
單擊列標(biāo)題中的鏈接,可按該字段排序數(shù)據(jù)。<br>
再次單擊該鏈接,將按相反順序排序。
<br><br><br>
<asp:datagrid id="DataGrid1" runat="server" OnSortCommand="SortGrid"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">
// 在 ViewState 中跟蹤 SortField 屬性
string SortField {
get {
object o = ViewState["SortField"];
if (o == null) {
return String.Empty;
}
return (string)o;
}
set {
if (value == SortField) {
// 與當(dāng)前排序文件相同,切換排序方向
SortAscending = !SortAscending;
}
ViewState["SortField"] = value;
}
}
// 在 ViewState 中跟蹤 SortAscending 屬性
bool SortAscending {
get {
object o = ViewState["SortAscending"];
if (o == null) {
return true;
}
return (bool)o;
}
set {
ViewState["SortAscending"] = value;
}
}
void Page_Load(object sender, EventArgs e) {
if (!Page.IsPostBack) {
BindGrid();
}
}
void BindGrid() {
// 獲取數(shù)據(jù)
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataView dv = new DataView(ds.Tables[0]);
// 應(yīng)用排序過濾器和方向
dv.Sort = SortField;
if (!SortAscending) {
dv.Sort += " DESC";
}
// 綁定網(wǎng)格
DataGrid1.DataSource = dv;
DataGrid1.DataBind();
}
void SortGrid(object sender, DataGridSortCommandEventArgs e) {
DataGrid1.CurrentPageIndex = 0;
SortField = e.SortExpression;
BindGrid();
}
</script>
下面是上述兩個(gè)代碼段中引用的 testdata.xml 的代碼:
<?xml version="1.0" standalone="yes"?>
<NewDataSet>
<Table>
<pub_id>0736</pub_id>
<pub_name>New Moon Books</pub_name>
<city>Boston</city>
<state>MA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>0877</pub_id>
<pub_name>Binnet & Hardley</pub_name>
<city>Washington</city>
<state>DC</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1389</pub_id>
<pub_name>Algodata Infosystems</pub_name>
<city>Berkeley</city>
<state>CA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1622</pub_id>
<pub_name>Five Lakes Publishing</pub_name>
<city>Chicago</city>
<state>IL</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1756</pub_id>
<pub_name>Ramona Publishers</pub_name>
<city>Dallas</city>
<state>TX</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9901</pub_id>
<pub_name>GGG&G</pub_name>
<city>Muenchen</city>
<country>Germany</country>
</Table>
<Table>
<pub_id>9952</pub_id>
<pub_name>Scootney Books</pub_name>
<city>New York</city>
<state>NY</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9999</pub_id>
<pub_name>Lucerne Publishing</pub_name>
<city>Paris</city>
<country>France</country>
</Table>
</NewDataSet>
選擇會(huì)話狀態(tài)還是 ViewState?
在某些情況下,將狀態(tài)值保存在 ViewState 中并不是最佳選擇,最常用的替代方法就是會(huì)話狀態(tài),它通常更適用于:
- 大量的數(shù)據(jù)。由于 ViewState 增加了發(fā)送到瀏覽器的頁(yè)面的大小(HTML 有效負(fù)載),同時(shí)也增加了回傳的窗體的大小,因此不適合存儲(chǔ)大量數(shù)據(jù)。
- 未在 UI 中顯示的安全數(shù)據(jù)。盡管 ViewState 數(shù)據(jù)已被編碼,并且可以選擇對(duì)其進(jìn)行加密,但始終不將數(shù)據(jù)發(fā)送到客戶端才是最安全的。因此,會(huì)話是更安全的選擇。(由于數(shù)據(jù)庫(kù)需要額外的憑據(jù)進(jìn)行驗(yàn)證,因此將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中會(huì)更安全。可以添加 SSL 以獲得更安全的鏈接。)但是,如果在 UI 中已經(jīng)顯示了該專用數(shù)據(jù),那么您應(yīng)該已經(jīng)確認(rèn)了鏈接的安全性。在這種情況下,將同樣的值放入 ViewState 不會(huì)降低安全性。
- 尚未序列化到 ViewState 中的對(duì)象,如 DataSet。ViewState 序列化程序只為一小部分常用的對(duì)象類型進(jìn)行了優(yōu)化,如下所示。其他可序列化的類型或許可以保留在 ViewState 中,但速度會(huì)變慢,并會(huì)生成一個(gè)非常大的 ViewState。
| ? | 會(huì)話狀態(tài) | ViewState |
|---|
| 是否使用服務(wù)器資源? | 是 | 否 |
| 是否超時(shí)? | 是,20 分鐘后(默認(rèn)) | 否 |
| 是否存儲(chǔ)所有 .NET 類型? | 是 | 否,僅支持:String、Integer、Boolean、Array、ArrayList、Hashtable 和自定義 TypeConverter |
| 是否增加“HTML 有效負(fù)載”? | 否 | 是 |
使用 ViewState 獲得最佳性能
使用 ViewState 時(shí),每個(gè)對(duì)象都必須先序列化到 ViewState 中,然后再通過回傳進(jìn)行反序列化,因此使用 ViewState 并非是沒有代價(jià)的。但是,如果遵循某些簡(jiǎn)單的原則對(duì) ViewState 的成本加以控制,則通常不會(huì)產(chǎn)生明顯的性能影響。
- 在不需要時(shí)禁用 ViewState。下面的“減少使用 ViewState”一節(jié)將詳細(xì)介紹這一問題。
- 使用優(yōu)化過的 ViewState 序列化程序。上面列出的類型具有專門的序列化程序,這些程序運(yùn)行速度很快,并已經(jīng)過優(yōu)化,可以生成很小的 ViewState。如果要序列化一個(gè)未在上面列出的類型,可以創(chuàng)建一個(gè)自定義 TypeConverter 來(lái)顯著提高它的性能。
- 盡量減少使用對(duì)象,如果可能,盡量減少放入 ViewState 中的對(duì)象的數(shù)目。例如,不要使用二維字符串?dāng)?shù)組(名稱/值,其對(duì)象的數(shù)目與數(shù)組的長(zhǎng)度一樣多),而應(yīng)使用兩個(gè)字符串?dāng)?shù)組(只有兩個(gè)對(duì)象)。但是,在將兩個(gè)已知類型存儲(chǔ)在 ViewState 中之前,在這兩者之間轉(zhuǎn)換不會(huì)獲得任何性能提高,因?yàn)檫@樣做實(shí)際上相當(dāng)于付出了兩次轉(zhuǎn)換的代價(jià)。
減少使用 ViewState
默認(rèn)情況下 ViewState 將被啟用,并且是由每個(gè)控件(而非頁(yè)面開發(fā)人員)來(lái)決定存儲(chǔ)在 ViewState 中的內(nèi)容。有時(shí),這一信息對(duì)應(yīng)用程序并沒有什么用處。盡管也沒什么害處,但卻會(huì)明顯增加發(fā)送到瀏覽器的頁(yè)面的大小。因此如果不需要使用 ViewState,最好還是將它關(guān)閉,特別是當(dāng) ViewState 很大的時(shí)候。
可以基于每個(gè)控件、每個(gè)頁(yè)面或每個(gè)應(yīng)用程序來(lái)關(guān)閉 ViewState。在以下情況中將不再需要 ViewState:
| 頁(yè)面 | 控件 |
|---|
| - 處理的不是控件的事件。
- 控件沒有動(dòng)態(tài)的或數(shù)據(jù)綁定的屬性值(或?qū)τ诿恳粋€(gè)請(qǐng)求它們都設(shè)置在代碼中)。
|
DataGrid 控件是 ViewState 的一個(gè)重量級(jí)用戶。默認(rèn)情況下,在網(wǎng)格中顯示的所有數(shù)據(jù)也都存儲(chǔ)在 ViewState 中,當(dāng)需要一個(gè)復(fù)雜的操作(如復(fù)雜的搜索)來(lái)獲取數(shù)據(jù)時(shí),這是非常有用的。但是,DataGrid 的這種行為有時(shí)也使得 ViewState 成為累贅。
例如,這里有一個(gè)簡(jiǎn)單的頁(yè)面就屬于上述情況。因?yàn)轫?yè)面不回傳給自身,所以它并不需要 ViewState。
圖 3:帶有 DataGrid1 的簡(jiǎn)單頁(yè)面 LessViewState.aspx
<%@ Import Namespace="System.Data" %>
<html>
<body>
<form runat="server">
<asp:DataGrid runat="server" />
</form>
</body>
</html>
<script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
啟用 ViewState 時(shí),這個(gè)小網(wǎng)格會(huì)給該頁(yè)面增加 3000 多字節(jié)的 HTML 有效負(fù)載!使用 ASP.NET Tracing(英文)或查看發(fā)送到瀏覽器的頁(yè)面的源代碼(如以下代碼所示),可以清楚地看到這一點(diǎn)。
<HTML>
<HEAD>
<title>減少頁(yè)面的“HTML 有效負(fù)載”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE"
value="dDwxNTgzOTU2ODA7dDw7bDxpPDE+Oz47bDx0PDtsPGk8MT47PjtsPHQ8QDA8cDxw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_u56 ?cDxsPFRleHQ7PjtsPFdhc2hpbmd0b247Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPERDOz
4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxP
jtpPDI+O2k8Mz47aTw0Pjs+O2w8dDxwPHA8bDxUZXh0Oz47bDwxMzg5Oz4+Oz47Oz47dDxw
PHA8bDxUZXh0Oz47bDxBbGdvZGF0YSBJbmZvc3lzdGVtczs+Pjs+Ozs+O3Q8cDxwPGw8VGV
4dDs+O2w8QmVya2VsZXk7Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPENBOz4+Oz47Oz47dD
xwPHA8bDxUZXh0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxPjtpPDI+O2k8M
z47aTw0Pjs+O2w8dDxwPHA8bDxUZXh0Oz47bDwxNjIyOz4+Oz47Oz47dDxwPHA8bDxUZXh0
Oz47bDxGaXZlIExha2VzIFB1Ymxpc2hpbmc7Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPEN
oaWNhZ287Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPElMOz4+Oz47Oz47dDxwPHA8bDxUZX
h0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxPjtpPDI+O2k8Mz47aTw0Pjs+O
2w8dDxwPHA8bDxUZXh0Oz47bDwxNzU2Oz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxSYW1v
bmEgUHVibGlzaGVyczs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8RGFsbGFzOz4+Oz47Oz4
7dDxwPHA8bDxUZXh0Oz47bDxUWDs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8VVNBOz4+Oz
47Oz47Pj47dDw7bDxpPDA+O2k8MT47aTwyPjtpPDM+O2k8ND47PjtsPHQ8cDxwPGw8VGV4d
Ds+O2w8OTkwMTs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8R0dHJkc7Pj47Pjs7Pjt0PHA8
cDxsPFRleHQ7PjtsPE3DvG5jaGVuOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDwmbmJzcFw
7Oz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxHZXJtYW55Oz4+Oz47Oz47Pj47dDw7bDxpPD
A+O2k8MT47aTwyPjtpPDM+O2k8ND47PjtsPHQ8cDxwPGw8VGV4dDs+O2w8OTk1Mjs+Pjs+O
zs+O3Q8cDxwPGw8VGV4dDs+O2w8U2Nvb3RuZXkgQm9va3M7Pj47Pjs7Pjt0PHA8cDxsPFRl
eHQ7PjtsPE5ldyBZb3JrOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxOWTs+Pjs+Ozs+O3Q
8cDxwPGw8VGV4dDs+O2w8VVNBOz4+Oz47Oz47Pj47dDw7bDxpPDA+O2k8MT47aTwyPjtpPD
M+O2k8ND47PjtsPHQ8cDxwPGw8VGV4dDs+O2w8OTk5OTs+Pjs+Ozs+O3Q8cDxwPGw8VGV4d
Ds+O2w8THVjZXJuZSBQdWJsaXNoaW5nOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxQYXJp
czs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8Jm5ic3BcOzs+Pjs+Ozs+O3Q8cDxwPGw8VGV
4dDs+O2w8RnJhbmNlOz4+Oz47Oz47Pj47Pj47Pj47Pj47Pj47Pg==" />
看!只是禁用了該網(wǎng)格的 ViewState,同一頁(yè)面的有效負(fù)載就大大減少了:
<HTML>
<HEAD>
<title>減少頁(yè)面的“HTML 有效負(fù)載”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE" value="dDwxNTgzOTU2ODA7Oz4=" />
下面是 Visual Basic 和 C# 的完整的 LessViewState 代碼:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>減少頁(yè)面的“HTML 有效負(fù)載”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通過禁用 ViewState 來(lái)減少頁(yè)面的“HTML 有效負(fù)載”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html><script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>減少頁(yè)面的“HTML 有效負(fù)載”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通過禁用 ViewState 來(lái)減少頁(yè)面的“HTML 有效負(fù)載”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>
<script runat="server">
void Page_Load(object sender, EventArgs e) {
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataGrid1.DataSource = ds;
DataGrid1.DataBind();
}
</script>
禁用 ViewState
在上述示例中,我通過將網(wǎng)格的 EnableViewState 屬性設(shè)置為 False 禁用了 ViewState。可以針對(duì)單個(gè)控件、整個(gè)頁(yè)面或整個(gè)應(yīng)用程序禁用 ViewState,如下所示:
| 每個(gè)控件(在標(biāo)記上) | <asp:datagrid EnableViewState="false" ?/> |
|---|
| 每個(gè)頁(yè)面(在指令中) | <%@ Page EnableViewState="False" ?%> |
|---|
| 每個(gè)應(yīng)用程序(在 web.config 中) | <Pages EnableViewState="false" ?/> |
|---|
使 ViewState 更安全
由于 ViewState 沒有被格式化為清晰的文本,某些人有時(shí)會(huì)認(rèn)為它被加密了,其實(shí)并沒有。相反,ViewState 只是進(jìn)行了 Base64 編碼,以確保值在往返過程中不會(huì)發(fā)生變化,而并不考慮應(yīng)用程序使用的響應(yīng)/請(qǐng)求編碼。
可以向應(yīng)用程序中添加兩種 ViewState 安全級(jí)別:
需要注意的是,ViewState 安全性對(duì)于處理和呈現(xiàn) ASP.NET 頁(yè)面所需的時(shí)間有直接的影響。簡(jiǎn)單地說,安全性越高,速度越慢。因此如果不需要,請(qǐng)不要為 ViewState 添加安全性。
防篡改
盡管散列代碼不能確保 ViewState 字段中實(shí)際數(shù)據(jù)的安全,但它能夠顯著降低有人通過 ViewState 騙過應(yīng)用程序的可能性,即防止回傳應(yīng)用程序通常禁止用戶輸入的值。
可以通過設(shè)置 EnableViewStateMAC 屬性來(lái)指示 ASP.NET 向 ViewState 字段中追加一個(gè)散列代碼:
<%@Page EnableViewStateMAC=true %>
可以在頁(yè)面級(jí)別上設(shè)置 EnableViewStateMAC,也可以在應(yīng)用程序級(jí)別上設(shè)置。在回傳時(shí),ASP.NET 將為 ViewState 數(shù)據(jù)生成一個(gè)散列代碼,并將其與存儲(chǔ)在回傳值中的散列代碼進(jìn)行比較。如果兩處的散列代碼不匹配,該 ViewState 數(shù)據(jù)將被丟棄,同時(shí)控件將恢復(fù)為原來(lái)的設(shè)置。
默認(rèn)情況下,ASP.NET 使用 SHA1 算法來(lái)生成 ViewState 散列代碼。此外,也可以通過在 machine.config 文件中設(shè)置 <machineKey> 來(lái)選擇 MD5 算法,如下所示:
<machineKey validation="MD5" />
加密
可以使用加密來(lái)保護(hù) ViewState 字段中的實(shí)際數(shù)據(jù)值。首先,必須如上所述設(shè)置 EnableViewStatMAC="true"。然后,將 machineKey validation 類型設(shè)置為 3DES。這將指示 ASP.NET 使用 Triple DES 對(duì)稱加密算法來(lái)加密 ViewState 值。
<machineKey validation="3DES" />
Web 領(lǐng)域中的 ViewState 安全性
默認(rèn)情況下,ASP.NET 將創(chuàng)建一個(gè)隨機(jī)的驗(yàn)證密鑰,并存儲(chǔ)在每個(gè)服務(wù)器的本地安全授權(quán) (LSA) 中。要驗(yàn)證在另一臺(tái)服務(wù)器上創(chuàng)建的 ViewState 字段,兩臺(tái)服務(wù)器的 validationKey 必須設(shè)置為相同的值。如果要通過上述方式之一,對(duì)運(yùn)行于 Web 領(lǐng)域配置中的應(yīng)用程序進(jìn)行 ViewState 安全設(shè)置,則需要為所有服務(wù)器提供一個(gè)唯一的、共享的驗(yàn)證密鑰。
驗(yàn)證密鑰是一個(gè)包含 20 到 64 位密碼增強(qiáng)字節(jié)的隨機(jī)字符串,用 40 到 128 個(gè)十六進(jìn)制字符表示。密鑰越長(zhǎng)越安全,因此建議使用 128 個(gè)字符的密鑰(如果計(jì)算機(jī)支持)。例如:
<machineKey validation="SHA1"validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />
System.Security.Cryptography 名稱空間包括 RNGCryptoServiceProvider 類,使用該類可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:
<%@ Page Language="c#" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<HTML>
<body>
<form runat="server">
<H3>生成隨機(jī)加密密鑰</H3>
<P>
<asp:RadioButtonList id="RadioButtonList1"
runat="server" RepeatDirection="Horizontal">
<asp:ListItem Value="40">40-byte</asp:ListItem>
<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>
</asp:RadioButtonList>
<asp:Button id="Button1" runat="server" onclick="GenerateKey"
Text="生成密鑰">
</asp:Button></P>
<P>
<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"
Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
復(fù)制并粘貼生成的結(jié)果</asp:TextBox></P>
</form>
</body>
</HTML>
<script runat=server>
void GenerateKey(object sender, System.EventArgs e)
{
int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);
// 在此處放入用于初始化頁(yè)面的用戶代碼
byte[] buff = new Byte[keylength/2];
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
// 該數(shù)組已使用密碼增強(qiáng)的隨機(jī)字節(jié)進(jìn)行填充
rng.GetBytes(buff);
StringBuilder sb = new StringBuilder(keylength);
int i;
for (i = 0; i < buff.Length; i++) {
sb.Append(String.Format("{0:X2}",buff[i]));
}
// 粘貼到文本框,用戶可從中復(fù)制
TextBox1.Text = sb.ToString();
}
</script>
總結(jié)
ASP.NET ViewState 是一種新的狀態(tài)服務(wù),可供開發(fā)人員基于每個(gè)用戶來(lái)跟蹤 UI 狀態(tài)。ViewState 沒有什么神秘之處,它只是利用了一個(gè)老的 Web 編程技巧:在一個(gè)隱藏的窗體字段中來(lái)回傳遞狀態(tài),并將它直接應(yīng)用于頁(yè)面處理框架中。但效果卻非常好 - 在基于 Web 的窗體中只需編寫并維護(hù)很少的代碼。
用戶可能并不總是需要它,但我想您在需要它的時(shí)候會(huì)發(fā)現(xiàn),ViewState 是提供給頁(yè)面開發(fā)人員的諸多 ASP.NET 新功能中非常令人滿意的一種功能。