asp.net 選擇工作階段狀態還是 ViewState?
在某些情況下,將狀態值儲存在 ViewState 中並不是最佳選擇,最常用的替代方法就是工作階段狀態,它通常更適用於:
大量的資料。由於 ViewState 增加了發送到瀏覽器的頁面的大小(HTML 承載),同時也增加了回傳的表單的大小,因此不適合儲存大量資料。
未在 UI 中顯示的安全資料。儘管 ViewState 資料已被編碼,並且可以選擇對其進行加密,但始終不將資料發送到用戶端才是最安全的。因此,會話是更安全的選擇。(由於資料庫需要額外的憑據進行驗證,因此將資料存放區在資料庫中會更安全。可以添加 SSL 以獲得更安全的連結。)但是,如果在 UI 中已經顯示了該專用資料,那麼您應該已經確認了連結的安全性。在這種情況下,將同樣的值放入 ViewState 不會降低安全性。
尚未序列化到 ViewState 中的對象,如 DataSet。ViewState 序列化程式只為一小部分常用的物件類型進行了最佳化,如下所示。其他可序列化的類型或許可以保留在 ViewState 中,但速度會變慢,並會產生一個非常大的 ViewState。
工作階段狀態 ViewState
是否使用伺服器資源? 是 否
是否逾時? 是,20 分鐘後(預設) 否
是否儲存所有 .NET 類型? 是 否,僅支援:String、Integer、Boolean、Array、ArrayList、Hashtable 和自訂 TypeConverter
是否增加“HTML 承載”? 否 是
使用 ViewState 獲得最佳效能
使用 ViewState 時,每個對象都必須先序列化到 ViewState 中,然後再通過回傳進行還原序列化,因此使用 ViewState 並非是沒有代價的。但是,如果遵循某些簡單的原則對 ViewState 的成本加以控制,則通常不會產生明顯的效能影響。
在不需要時禁用 ViewState。下面的“減少使用 ViewState”一節將詳細介紹這一問題。
使用最佳化過的 ViewState 序列化程式。上面列出的類型具有專門的序列化程式,這些程式運行速度很快,並已經過最佳化,可以產生很小的 ViewState。如果要序列化一個未在上面列出的類型,可以建立一個自訂 TypeConverter 來顯著提高它的效能。
盡量減少使用對象,如果可能,盡量減少放入 ViewState 中的對象的數目。例如,不要使用二維字串數組(名稱/值,其對象的數目與數組的長度一樣多),而應使用兩個字串數組(只有兩個對象)。但是,在將兩個已知類型儲存在 ViewState 中之前,在這兩者之間轉換不會獲得任何效能提高,因為這樣做實際上相當於付出了兩次轉換的代價。
減少使用 ViewState
預設情況下 ViewState 將被啟用,並且是由每個控制項(而非頁面開發人員)來決定儲存在 ViewState 中的內容。有時,這一資訊對應用程式並沒有什麼用處。儘管也沒什麼害處,但卻會明顯增加發送到瀏覽器的頁面的大小。因此如果不需要使用 ViewState,最好還是將它關閉,特別是當 ViewState 很大的時候。
可以基於每個控制項、每個頁面或每個應用程式來關閉 ViewState。在以下情況中將不再需要 ViewState:
頁面 控制項
頁面不回傳給自身。
處理的不是控制項的事件。
控制項沒有動態或資料繫結的屬性值(或對於每一個請求它們都設定在代碼中)。
DataGrid 控制項是 ViewState 的一個重量級使用者。預設情況下,在網格中顯示的所有資料也都儲存在 ViewState 中,當需要一個複雜的操作(如複雜的搜尋)來擷取資料時,這是非常有用的。但是,DataGrid 的這種行為有時也使得 ViewState 成為累贅。
例如,這裡有一個簡單的頁面就屬於上述情況。因為頁面不回傳給自身,所以它並不需要 ViewState。
圖 3:帶有 DataGrid1 的簡單頁面 LessViewState.aspx
<%@ Import Namespace="System.Data" %>
<html>
<body>
<form runat="server">
<asp:DataGrid runat="server" />
</form>
</body>
</html>
<script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
啟用 ViewState 時,這個小網格會給該頁面增加 3000 多位元組的 HTML 承載!使用 ASP.NET Tracing(英文)或查看發送到瀏覽器的頁面的原始碼(如以下代碼所示),可以清楚地看到這一點。
<HTML>
<HEAD>
<title>減少頁面的“HTML 承載”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE"
value="dDwxNTgzOTU2ODA7dDw7bDxpPDE+Oz47bDx0PDtsPGk8MT47PjtsPHQ8QDA8cDxw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_u56 ?cDxsPFRleHQ7PjtsPFdhc2hpbmd0b247Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPERDOz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" />
看!只是禁用了該網格的 ViewState,同一頁面的承載就大大減少了:
<HTML>
<HEAD>
<title>減少頁面的“HTML 承載”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE" value="dDwxNTgzOTU2ODA7Oz4=" />
下面是 Visual Basic 和 C# 的完整的 LessViewState 代碼:
[Visual Basic]
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>減少頁面的“HTML 承載”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通過禁用 ViewState 來減少頁面的“HTML 承載”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html><script runat="server">
Private Sub Page_Load(sender As Object, e As EventArgs)
Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))
DataGrid1.DataSource = ds
DataGrid1.DataBind()
End Sub
</script>
[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>減少頁面的“HTML 承載”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通過禁用 ViewState 來減少頁面的“HTML 承載”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>
<script runat="server">
void Page_Load(object sender, EventArgs e) {
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));
DataGrid1.DataSource = ds;
DataGrid1.DataBind();
}
</script>
禁用 ViewState
在上述樣本中,我通過將網格的 EnableViewState 屬性設定為 False 禁用了 ViewState。可以針對單個控制項、整個頁面或整個應用程式禁用 ViewState,如下所示:
每個控制項(在標記上) <asp:datagrid EnableViewState="false" ?/>
每個頁面(在指令中) <%@ Page EnableViewState="False" ?%>
每個應用程式(在 web.config 中) <Pages EnableViewState="false" ?/>
使 ViewState 更安全
由於 ViewState 沒有被格式化為清晰的文本,某些人有時會認為它被加密了,其實並沒有。相反,ViewState 只是進行了 Base 64 編碼,以確保值在往返過程中不會發生變化,而並不考慮應用程式使用的響應/請求編碼。
可以嚮應用程式中添加兩種 ViewState 安全層級:
防篡改
加密
需要注意的是,ViewState 安全性對於處理和呈現 ASP.NET 頁面所需的時間有直接的影響。簡單地說,安全性越高,速度越慢。因此如果不需要,請不要為 ViewState 添加安全性。
防篡改
儘管散列代碼不能確保 ViewState 欄位中實際資料的安全,但它能夠顯著降低有人通過 ViewState 騙過應用程式的可能性,即防止回傳應用程式通常禁止使用者輸入的值。
可以通過設定 EnableViewStateMAC 屬性來指示 ASP.NET 向 ViewState 欄位中追加一個散列代碼:
<%@Page EnableViewStateMAC=true %>
可以在頁面層級上設定 EnableViewStateMAC,也可以在應用程式層級上設定。在回傳時,ASP.NET 將為 ViewState 資料產生一個散列代碼,並將其與儲存在回傳值中的散列代碼進行比較。如果兩處的散列代碼不匹配,該 ViewState 資料將被丟棄,同時控制項將恢複為原來的設定。
預設情況下,ASP.NET 使用 SHA1 演算法來產生 ViewState 散列代碼。此外,也可以通過在 machine.config 檔案中設定 <machineKey> 來選擇 MD5 演算法,如下所示:
<machineKey validation="MD5" />
加密
可以使用加密來保護 ViewState 欄位中的實際資料值。首先,必須如上所述設定 EnableViewStatMAC="true"。然後,將 machineKey validation 類型設定為 3DES。這將指示 ASP.NET 使用 Triple DES 對稱式加密演算法來加密 ViewState 值。
<machineKey validation="3DES" />
Web 領域中的 ViewState 安全性
預設情況下,ASP.NET 將建立一個隨機的驗證密鑰,並儲存在每個伺服器的本地安全授權 (LSA) 中。要驗證在另一台伺服器上建立的 ViewState 欄位,兩台伺服器的 validationKey 必須設定為相同的值。如果要通過上述方式之一,對運行於 Web 領網域設定中的應用程式進行 ViewState 安全設定,則需要為所有伺服器提供一個唯一的、共用的驗證密鑰。
驗證密鑰是一個包含 20 到 64 位元密碼增強位元組的隨機字串,用 40 到 128 個十六進位字元表示。密鑰越長越安全,因此建議使用 128 個字元的密鑰(如果電腦支援)。例如:
<machineKey validation="SHA1" validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />
System.Security.Cryptography 名稱空間包括 RNGCryptoServiceProvider 類,使用該類可以產生此字串,如以下 GenerateCryptoKey.aspx 樣本所示:
<%@ Page Language="c#" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<HTML>
<body>
<form runat="server">
<H3>產生隨機加密金鑰</H3>
<P>
<asp:RadioButtonList id="RadioButtonList1"
runat="server" RepeatDirection="Horizontal">
<asp:ListItem Value="40">40-byte</asp:ListItem>
<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>
</asp:RadioButtonList>
<asp:Button id="Button1" runat="server" onclick="GenerateKey"
Text="產生密鑰">
</asp:Button></P>
<P>
<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"
Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
複製並粘貼產生的結果</asp:TextBox></P>
</form>
</body>
</HTML>
<script runat=server>
void GenerateKey(object sender, System.EventArgs e)
{
int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);
// 在此處放入用於初始化頁面的使用者代碼
byte[] buff = new Byte[keylength/2];
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
// 該數組已使用密碼增強隨機位元組進行填充
rng.GetBytes(buff);
StringBuilder sb = new StringBuilder(keylength);
int i;
for (i = 0; i < buff.Length; i++) {
sb.Append(String.Format("{0:X2}",buff[i]));
}
// 粘貼到文字框,使用者可從中複製
TextBox1.Text = sb.ToString();
}
</script>
總結
ASP.NET ViewState 是一種新的狀態服務,可供開發人員基於每個使用者來跟蹤 UI 狀態。ViewState 沒有什麼神秘之處,它只是利用了一個老的 Web 編程技巧:在一個隱藏的表單欄位中來回傳遞狀態,並將它直接應用於頁面處理架構中。但效果卻非常好 - 在基於 Web 的表單中只需編寫並維護很少的代碼。
使用者可能並不總是需要它,但我想您在需要它的時候會發現,ViewState 是提供給頁面開發人員的諸多 ASP.NET 新功能中非常令人滿意的一種功能。
