asp.net中ViewState的用法详解

在web窗体控件设置为runat = "server",这个控件会被附加一个隐藏的属性_ViewState,_ViewState存放了所有控件在ViewState中的状态值。ViewState是一个名称/值的对象集合。当请求某个页面时,ASP.NET会把所有控件的状态序列化成一个字符串,然后作为窗体的隐藏属性送到客户端,当客户端吧页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值。

当我们在写一个asp.net表单时, 一旦标明了 form runat=server ,那么,asp.net就会自动在输出时给页面添加一个隐藏域

<input type="hidden" name="__VIEWSTATE" value="">

那么,有了这个隐藏域,页面里其他所有的控件的状态,包括页面本身的一些状态都会保存到这个控件值里面. 每次页面提交时一起提交到后台,asp.net对其中的值进行解码,然后输出时再根据这个值来恢复各个控件的状态. 我们再看这个控件的value值,它可能类似如下的形式:Oz4+O2w8aTwxPjs+O2w8.... 很多人会认为这是加密的信息,其实不是, ms仅仅是给各个控件和页面的状态存入适当的对象里面,然后把该对象序列化, 最后再做一次base64编码,直接赋值给viewstate控件.

一、ViewState的原理

1.浏览器请求Default.aspx页面

2.在服务器端 发现创建的ViewState 这个时候 会自动创建一个名字叫做__VIEWSTATE(双下滑线 全部是大写)的隐藏域 其隐藏域的值经过base64加密以后返回到浏览器端这一加密过程在页面生命周期的SaveState事件中的SaveAllState方法中完成

3.当浏览器提交表单的时候 将__VIEWSTATE的隐藏域也一起提交到服务端 这个时候 页面生命周期的ReadState事件的ReadAllState方法会将加密后的值反base64解密 最后将值赋值给名字叫做name的ViewState

4.最后来操作ViewState中的值

二、ViewState的用法:

1.定义ViewState属性

public int PageCount{
get{return (int)ViewState["PageCount"];}
set{ViewState["PageCount"]=value;}
}

2.使用ViewState的条件

如果要使用ViewState,则在ASPX页面中必须要有一个服务器端窗体标记(<form runat = "server">)。窗体字段是必须的,这样包含ViewState信息的隐藏字段才能被传回服务器。而且,该窗体还必须是服务器端的窗体,这样在服务器上执行该页面时,ASP.net页面框架才能添加隐藏字段。

page的EnableViewState 属性值为true
控件的EnableViewState 属性值为 true

3.ViewState需要注意的地方

a. 当存在页面回传时,不需要维持控件的值就要把 ViewState 禁止。
b. ViewState的索引是大小写敏感的。
c. ViewState不是跨页面的。
d. 为了能保存在 ViewState中,对象必须是可流化或者定义了 TypeConverter。
e. 控件 TextBox 的 TextMode 属性设置为 Password时,它的状态将不会被保存在 ViewState 中,这应该是出于安全性的考虑。
f. 在页面没有回传或重定向或在回传中转到(transfer)其他页面时不要使用 ViewState。
g. 在动态建立控件时要小心它的 ViewState。
h. 当禁止一个程序的 ViewState 时,这个程序的所有页面的 ViewState 也被禁止了。
i. 只有当页面回传自身时ViewState 才是持续的。

4.设置ViewState

ViewState可以在控件,页,程序,全局配置中设置。缺省情况下 EnableViewState 为 true 。如果要禁止所有页面 ViewState 功能,可以在程序配置中把 EnableViewState 设为 false 。

三、产生的 __VIEWSTATE如图

使用ViewStateDecoder2(ViewState查看器)来看一下值

所以ViewState在安全性上面还是比较差,建议不要存放比较机密和敏感的信息,尽管ViewState可以加密,但是由于ViewState要保存在客户端,天生就有安全性的隐患。

四、viewstate与session的对比

(1) session值是保存在服务器内存上,那么,可以肯定,大量的使用session将导致服务器负担加重. 而viewstate由于只是将数据存入到页面隐藏控件里,不再占用服务器资源,因此, 我们可以将一些需要服务器"记住"的变量和对象保存到viewstate里面. 而sesson则只应该应用在需要跨页面且与每个访问用户相关的变量和对象存储上.

(2) session在默认情况下20分钟就过期,而viewstate则永远不会过期.

但viewstate并不是能存储所有的.net类型数据,它仅仅支持String、Integer、Boolean、Array、ArrayList、Hashtable 以及自定义的一些类型.

任何事物都有两面性, 使用viewstate会增加页面html的输出量,占用更都的带宽,这一点是需要我们慎重考虑的. 另外, 由于所有的viewstate都是存储在一个隐藏域里面,用户可以很容易的通过查看源码来看到这个经过base64编码的值.然后再经过转换就可以获取你存储其中的对象和变量值。

(0)

相关推荐

  • 禁止ViewState的3种解决方法

    下面3种方式就可以分别禁用某一个控件.某一个页面和整个应用程序的ViewState.      1) 控件禁用:将控件的EnableViewState属性设置为false: 2) 页面禁用:在页面的Page指令中添加EnableViewState="false":3) 应用程序禁用:在Web.Config文件中添加 程序代码 程序代码 复制代码 代码如下: <configuration><system.web><pages enableViewState=

  • asp.net 生成静态时的过滤viewstate的实现方法

    复制代码 代码如下: public static string GetSourceTextByUrl(string url) { WebRequest request = WebRequest.Create(url); request.Timeout = 200000;//20秒超时 WebResponse response = request.GetResponse(); Stream resStream = response.GetResponseStream(); StreamReader

  • asp.net 去除viewstate第1/2页

    看下这段代码:生成了这么多的一段东西,这段东西对seo一点好处也没有.而我要做的就是去掉它,但有一点,去掉但不能让它原来的控件和内容都发生变化,比如说不能使用等等.所以我要做的仅仅是用另一种方式去保存这些数据.这是一段用base64编码的数据而并不是加密,我很好奇到底放了些什么东西在这里面.下面我开始破解这段代码.代码如下: 复制代码 代码如下: string str = "/wEPDwUKLTY4MTg1OTU4Nw9kFgJmD2QWAgIED2QWAgIDD2QWEGYPFgIeBFRle

  • asp.net生成静态后冗余代码,去掉viewstate生成的代码

    看着自己网站编译之后的源文件,里面很多乱七八糟的东西,看了就觉得不舒服 复制代码 代码如下: <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwULLTE3NjgxMzM0MDIPZBYCZg9kFgIC-- 还有form源文件,一看就知道是asp.net的页面 复制代码 代码如下: <form name="form1&quo

  • 状态保存机制之ViewState概述及应用

    无状态Http 无状态的根本原因是:浏览器和服务器使用Socket通信,服务器将请求结果返回给浏览器后,会关闭当前Socket连接.而且服务器会在处理页面完毕后销毁页面对象. 应用层面的原因是:浏览器和服务器之间通信都遵守HTTP协议. 一个浏览者发出的请求都是由实现了IHttpHandler接口的对象进行响应,由于下次访问不一定还是上次那个对象进行响应,上次响应完毕对象可能已经被销毁了,写的类变量值早就不存在了,因此不能将状态信息保存到类变量中. 编写一个ashx 复制代码 代码如下: pri

  • ASP.NET中控件的EnableViewState属性及彻底禁用

    在ASP.Net中对各个WebForm控件引入以前没有的EnableViewState属性.这个属性究竟有什么用.我们知道对于WebForm而言,其代码是在服务器端的,以处理客户端的请求.当用户通过浏览器浏览网页的时候,会对网页进行某些操作,比如打开新链接,或单击某个按钮.在ASP中,这些是通过脚本语言对其进行处理,之后再传递给服务器端.但是在ASP.NET下,由于采用了code behind技术,在coding的时候,通常是将以前客户端完成的工作放到了服务器端. 那么,服务器是怎么知道客户的操

  • asp.net 禁用viewstate在web.config里

    复制代码 代码如下: <pages enableSessionState="true" enableViewState="false" enableViewStateMac="false" />

  • 使用正则Regex来移除网页的EnableViewState实现思路及代码

    当你创建好一个网页时,什么都没有写,就可以运行,然后查看源程序(View Source),就会看到下面一段. 此刻,也许你会想起,在网页有一个属性EnableViewState,可设为False,但似乎不见效果. 其实网页有ViewState并不是坏事,但有时我们不需要它.怎样办?首先回过头来,看第一幅图片,第12行代码,即高亮部分,是我们想移掉的部分.我们可以使用正则,然后网页重新Render,就可把它拿掉. 在.aspx.cs 或.aspx.vb引用namespace: 复制代码 代码如下:

  • viewstate和datatable动态录入数据示例

    复制代码 代码如下: <%@ Page Language="C#" EnableViewState="true" %><%@ Import Namespace="System.Data" %><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xht

  • asp.net viewstate 回发机制

    所谓回发机制,其实说白了就是自己发送给自己(本页面)而已.下面我们新建一个网站,打开默认添加的Default.aspx页面,form部分代码如下: 复制代码 代码如下: <form id="form1" runat="server" > <div> </div> </form> 下面是运行页面后的HTML代码: 复制代码 代码如下: <form name="form1" method=&quo

随机推荐