ASP.net 2.0 中 WebResource.axd 管理資源的一些知識點

來源:互聯網
上載者:User

在 ASP.net 2.0 構建的Web頁面中,查看源檔案,我們經常會看到下面的Html文本

這是 ASP.net 2.0 提供的新的資源管理方式產生的指令碼。

新的資源管理方式如何使用,你可以參看以下幾篇部落格:

使用ASP.NET 2.0提供的WebResource管理資源
http://birdshome.cnblogs.com/archive/2004/12/19/79309.html

在自訂Server Control中捆綁JS檔案 Step by Step
http://www.cnblogs.com/jackielin/archive/2005/11/29/286570.html

使用 ASP.NET 2.0 中 Web 資源
http://support.microsoft.com/kb/910442

在.NET 1.1下實現WebResource.axd
http://www.cnblogs.com/yeahooh/archive/2007/07/27/833846.html

 

使用 WebResource管理資源時, 我們會經常收到類似下面的異常

System.Web.HttpException: 無效的檢視狀態。
System.Security.Cryptography.CryptographicException: 填充無效,無法被移除。

比如下面幾個文章就提到了這個問題:

Annoying CryptographicException on WebResource.axd
http://forums.asp.net/t/934913.aspx

ASP.Net’s WebResource.axd and machineKey badness
http://blog.aproductofsociety.org/?p=11

 

這是因為 WebResource.axd  URL 的參數具有時效性,但是對於搜尋引擎的爬蟲來說,他們會經常訪問這些參數到期的地址,所以就會出現上面的異常。

這個問題的解決方案,目前沒有更好的方案,微軟論壇中只是建議在robots.txt 檔案中增加下面的資訊:

User-agent: *
Disallow: /*.axd$

但是這要求遵循 robots.txt 規範的爬蟲們下次獲得最新的 robots.txt 才會起作用。而對於那些不遵循 robots.txt 規範的爬蟲,可一點辦法都沒有。

 

我現在的想法是,能不用 WebResource.axd  就不要用,因為國內不遵循robots.txt 規範的爬蟲們太多了。這就需要我們來分析那些情境使用了  WebResource.axd  中的資源,也就是 需要對 WebResource.axd  的格式進行分析。

 

WebResource.axd 的 URL 的格式是:

         WebResource.axd?d=encrypted 標識符 & T = 時間戳記值。
其中:

        " d " 代表請求 Web 資源。  (encrypted identifier)
       " t " 是 timestamp 對程式集, 這有助於在確定如果已經對資源的變更要求。

 

t 參數對於我們分析誰使用它,沒有意義,我們下面就來分析 d 參數。

 

d 參數的解析代碼如下:

script runat="server">    public static string PageDecryptString(string input)    {        Type type = typeof(System.Web.UI.Page);        object o = Activator.CreateInstance(type);        System.Reflection.MethodInfo mi = type.GetMethod("DecryptString", System.Reflection.BindingFlags.NonPublic | System.Reflection.BindingFlags.Static, null, new Type[] { typeof(string) }, null);        object result = mi.Invoke(o, new object[] { input });        return result.ToString();    }    protected void btn_Post_Click(object sender, EventArgs e)    {        this.l_Info.Text = PageDecryptString(HttpUtility.UrlDecode(tb_WebResourceDValue.Text));    }script>html xmlns="http://www.w3.org/1999/xhtml">body>    form id="form1" runat="server">    asp:TextBox ID="tb_WebResourceDValue" runat="server" />br />    asp:Label ID="l_Info" runat="server" />br />    asp:Button ID="btn_Post" runat="server" Text="計算" OnClick="btn_Post_Click" />    form>body>html>

我們在 C:/Windows/Microsoft.NET/Framework64/v2.0.50727/CONFIG/web.config 檔案中,可以看到 WebResource.axd 檔案是配置的通過下面 HttpHandle 來解析的:

在  System.Web.Handlers.AssemblyResourceLoader 類中,使用 Reflector 工具看,又可以看到下面代碼:

 

void IHttpHandler.ProcessRequest(HttpContext context){// ...string str = context.Request.QueryString["d"];// ....string str2 = Page.DecryptString(str);// ...}

顯然, d 的參數, 是應該通過 Page.DecryptString 函數來解析的。

而 Page.DecryptString 函數 中,涉及到調用 web 配置中配置的預設加密key。 簡單起見,我們這裡的解析方法就用 ASP.net 頁面來實現了。由於 Page.DecryptString 函數是 internal static 的, 我們上面代碼就用反射來調用這個函數,就會獲得我們期望的值。

(為了保證解密演算法的解密key一致,最簡單的做法就是我們把上面這個解密ASPX頁面跟需要解析的放在同一個伺服器上)

上面 的  QfRKDnWw93T08KaF3ioSKQ2  解密的結果是: s|WebForms.js   豎線只是用於分隔字串中不同的值。“s”表示該資料為指令碼,“WebForms.js”是要檢索的資源名稱。WebForms.js 資源可從 System.Web.dll 檢索。

同理上面 的 9iVKU5SS0wd5al1SYg8zjL8XXbP97LbENHerY4aLtJk1 解密的結果是 : s|WebUIValidation.js

顯然如果出現這樣的 WebResource.axd 調用,應該是驗證控制項在調用.

我們要想上面的


不出現,就需要讓調用 WebForms.js , WebUIValidation.js  指令碼的驗證控制項不使用。 

 

參考資料:

全球化就緒: 和 ASP.NET AJAX 應用程式環遊地球 -- MSDN Magazine, January 2008
http://msdn.microsoft.com/msdnmag/issues/08/01/InternationalizingASPNETAJAX/default.aspx?loc=zh

對於Asp.Net 2.0中指令碼資源的研究(1)
http://www.cnblogs.com/Truly/archive/2007/07/07/809576.html

對於Asp.Net 2.0中指令碼資源的研究(2)
http://www.cnblogs.com/Truly/archive/2007/07/10/812707.html

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.