菜鸟先飞

导航

统计

公告

2009年3月4日 #

Asp.net ViewState初探(转载)

ViewState 用于维护页面的 UI 状态

ViewState(英文)是一种机制,ASP.NET 使用这种机制来跟踪服务器控件状态值,否则这些值将不作为 HTTP 窗体的一部分而回传。例如,由 Label 控件显示的文本默认情况下就保存在 ViewState 中。作为开发人员,您可以绑定数据,或在首次加载该页面时仅对 Label 编程设置一次,在后续的回传中,该标签文本将自动从 ViewState 中重新填充。因此,除了可以减少繁琐的工作和代码外,ViewState 通常还可以减少数据库的往返次数。

ViewState 的工作原理

ViewState 确实没有什么神秘之处,它是由 ASP.NET 页面框架管理的一个隐藏的窗体字段。当 ASP.NET 执行某个页面时,该页面上的 ViewState 值和所有控件将被收集并格式化成一个编码字符串,然后被分配给隐藏窗体字段的值属性(即 <input type=hidden>)。由于隐藏窗体字段是发送到客户端的页面的一部分,所以 ViewState 值被临时存储在客户端的浏览器中。如果客户端选择将该页面回传给服务器,则 ViewState 字符串也将被回传。在上面的图 2 中可以看到 ViewState 窗体字段及其回传的值。
回传后,ASP.NET 页面框架将解析 ViewState 字符串,并为该页面和各个控件填充 ViewState 属性。然后,控件再使用 ViewState 数据将自己重新恢复为以前的状态。
关于 ViewState 还有三个值得注意的小问题。
  • 如果要使用 ViewState,则在 ASPX 页面中必须有一个服务器端窗体标记 (<form runat=server>)。窗体字段是必需的,这样包含 ViewState 信息的隐藏字段才能回传给服务器。而且,该窗体还必须是服务器端的窗体,这样在服务器上执行该页面时,ASP.NET 页面框架才能添加隐藏的字段。
  • 页面本身将 20 字节左右的信息保存在 ViewState 中,用于在回传时将 PostBack 数据和 ViewState 值分发给正确的控件。因此,即使该页面或应用程序禁用了 ViewState,仍可以在 ViewState 中看到少量的剩余字节。
  • 在页面不回传的情况下,可以通过省略服务器端的 <form> 标记来去除页面中的 ViewState。

选择会话状态还是 ViewState?

在某些情况下,将状态值保存在 ViewState 中并不是最佳选择,最常用的替代方法就是会话状态,它通常更适用于:
  • 大量的数据。由于 ViewState 增加了发送到浏览器的页面的大小(HTML 有效负载),同时也增加了回传的窗体的大小,因此不适合存储大量数据。
  • 未 在 UI 中显示的安全数据。尽管 ViewState 数据已被编码,并且可以选择对其进行加密,但始终不将数据发送到客户端才是最安全的。因此,会话是更安全的选择。(由于数据库需要额外的凭据进行验证,因 此将数据存储在数据库中会更安全。可以添加 SSL 以获得更安全的链接。)但是,如果在 UI 中已经显示了该专用数据,那么您应该已经确认了链接的安全性。在这种情况下,将同样的值放入 ViewState 不会降低安全性。
  • 尚未序列化到 ViewState 中的对象,如 DataSet。ViewState 序列化程序只为一小部分常用的对象类型进行了优化,如下所示。其他可序列化的类型或许可以保留在 ViewState 中,但速度会变慢,并会生成一个非常大的 ViewState。

使用 ViewState 获得最佳性能

使用 ViewState 时,每个对象都必须先序列化到 ViewState 中,然后再通过回传进行反序列化,因此使用 ViewState 并非是没有代价的。但是,如果遵循某些简单的原则对 ViewState 的成本加以控制,则通常不会产生明显的性能影响。
  • 在不需要时禁用 ViewState。下面的“减少使用 ViewState”一节将详细介绍这一问题。
  • 使 用优化过的 ViewState 序列化程序。上面列出的类型具有专门的序列化程序,这些程序运行速度很快,并已经过优化,可以生成很小的 ViewState。如果要序列化一个未在上面列出的类型,可以创建一个自定义 TypeConverter 来显著提高它的性能。
  • 尽 量减少使用对象,如果可能,尽量减少放入 ViewState 中的对象的数目。例如,不要使用二维字符串数组(名称/值,其对象的数目与数组的长度一样多),而应使用两个字符串数组(只有两个对象)。但是,在将两个 已知类型存储在 ViewState 中之前,在这两者之间转换不会获得任何性能提高,因为这样做实际上相当于付出了两次转换的代价。

减少使用 ViewState

默认情况下 ViewState 将被启用,并且是由每个控件(而非页面开发人员)来决定存储在 ViewState 中的内容。有时,这一信息对应用程序并没有什么用处。尽管也没什么害处,但却会明显增加发送到浏览器的页面的大小。因此如果不需要使用 ViewState,最好还是将它关闭,特别是当 ViewState 很大的时候。
可以基于每个控件、每个页面或每个应用程序来关闭 ViewState。在以下情况中将不再需要 ViewState:
页面
  • 页面不回传给自身。
控件
  • 处理的不是控件的事件。
  • 控件没有动态的或数据绑定的属性值(或对于每一个请求它们都设置在代码中)。
DataGrid 控件是 ViewState 的一个重量级用户。默认情况下,在网格中显示的所有数据也都存储在 ViewState 中,当需要一个复杂的操作(如复杂的搜索)来获取数据时,这是非常有用的。但是,DataGrid 的这种行为有时也使得 ViewState 成为累赘。

例如,这里有一个简单的页面就属于上述情况。因为页面不回传给自身,所以它并不需要 ViewState。

启用 ViewState 时,这个小网格会给该页面增加 3000 多字节的 HTML 有效负载!使用 ASP.NET Tracing(英文)或查看发送到浏览器的页面的源代码(如以下代码所示),可以清楚地看到这一点。

<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
    <HEAD>
        <title>减少页面的“HTML 有效负载”</title>
    </HEAD>
    <body>
        <form runat="server">
            <H3>
                通过禁用 ViewState 来减少页面的“HTML 有效负载”
            </H3>
            <P>
                <asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
                BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
                BackColor="White" CellPadding="5">
                    <HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
                    </HeaderStyle>
                </asp:datagrid>
            </P>
        </form>
    </body>
</html>
<script runat="server">
    void Page_Load(object sender, EventArgs e) {
        DataSet ds = new DataSet();
        ds.ReadXml(Server.MapPath("TestData.xml"));
       
        DataGrid1.DataSource = ds;
        DataGrid1.DataBind();
    }
</script>

禁用 ViewState

在上述示例中,我通过将网格的 EnableViewState 属性设置为 False 禁用了 ViewState。可以针对单个控件、整个页面或整个应用程序禁用 ViewState,如下所示:
每个控件(在标记上):sp:datagrid EnableViewState="false" ?/>
每个页面(在指令中): <%@ Page EnableViewState="False" ?%>

每个应用程序(在 web.config 中): <Pages EnableViewState="false" ?/>

使 ViewState 更安全
由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。
可以向应用程序中添加两种 ViewState 安全级别:
  • 防篡改
  • 加密
需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为 ViewState 添加安全性
防篡改
管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输入的值。
可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追加一个散列代码:
<%@Page EnableViewStateMAC=true %>
可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被丢弃,同时控件将恢复为原来的设置。
默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所示:
<machineKey validation="MD5" />

加密

可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置 EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为 3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。

<machineKey validation="3DES" />

Web 领域中的 ViewState 安全性
默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供一个唯一的、共享的验证密钥。
验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计算机支持)。例如:
<machineKey validation="SHA1" validationKey="















F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A















23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />

System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:

<%@ Page Language="c#" %>















<%@ Import Namespace="System.Security.Cryptography" %>















<HTML>















<body>















<form runat="server">















<H3>生成随机加密密钥</H3>















<P>















<asp:RadioButtonList id="RadioButtonList1"















runat="server" RepeatDirection="Horizontal">















<asp:ListItem Value="40">40-byte</asp:ListItem>















<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>















</asp:RadioButtonList>&nbsp;















<asp:Button id="Button1" runat="server" onclick="GenerateKey"















Text="生成密钥">















</asp:Button>















</P>















<P>















<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"















Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">















复制并粘贴生成的结果</asp:TextBox>















</P>















</form>















</body>















</HTML>















<script runat=server>















void GenerateKey(object sender, System.EventArgs e)















{















int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);















// 在此处放入用于初始化页面的用户代码















byte[] buff = new Byte[keylength/2];















RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();















// 该数组已使用密码增强的随机字节进行填充















rng.GetBytes(buff);















StringBuilder sb = new StringBuilder(keylength);















int i;















for (i = 0; i < buff.Length; i++) {















sb.Append(String.Format("{0:X2}",buff[i]));















}















// 粘贴到文本框,用户可从中复制















TextBox1.Text = sb.ToString();















}















</script>
















































总结
































ASP.NET ViewState 是一种新的状态服务,可供开发人员基于每个用户来跟踪 UI 状态。ViewState 没有什么神秘之处,它只是利用了一个老的 Web 编程技巧:在一个隐藏的窗体字段中来回传递状态,并将它直接应用于页面处理框架中。但效果却非常好 - 在基于 Web 的窗体中只需编写并维护很少的代码。









































用户可能并不总是需要它,但我想您在需要它的时候会发现,ViewState 是提供给页面开发人员的诸多 ASP.NET 新功能中非常令人满意的一种功能。
















引用地址:http://hi.baidu.com/chenying99/blog/item/a9669fb7ad88ecf230add172.html

posted @ 2009-03-04 12:50 胥子维 阅读(154) 评论(0) 编辑

ViewState剖析(转载)

原文:http://hi.baidu.com/frankzye/blog/item/0dc1c41f8db6b464f724e42a.html

 

ViewState 不是什么?

1. ViewState 不是用来恢复回发的控件的值。 这个是通过匹配 form 中该控件的变量名而自动完成的。这个只对 Load 事件加载之前创建的控件有效。 2. ViewState 不会自动重新创建任何通过代码动态创建的控件。 3. 不是用来保存用户信息的。仅仅保存本页的控件状态,而不能在页面之间传递。

ViewState 是什么?

ViewState 用来跟踪和保存控件的状态信息。否则这些信息可能会丢失,原因可能是这些值不随着 form 回发,或者根本就不在 page 的 html 中。 ViewState 中保存着代码中改变的控件属性,通过代码绑定到控件的任何数据,以及由用户操作触发,回发的任何更改。 ViewState 还提供了一个状态包(StateBag), 这是一个特殊的集合或字典(collection or dictionary), 可以用来保存,通过一个 key 来恢复任意的对象或者值。

ViewState 的格式

保存在表单中的 __VIEWSTATE 隐藏字段。是 Base64 编码过的,而不是加密! 但要加密也是可以的(设置 enableViewStateMac 来使用 machine key 进行 hash) 加密:设置 machineKey 验证, 但这必须在机器级别设置,需要更多的资源,所以不推荐。

Listing 1: ViewState Machine Hash Disabled machine.config or web.config : <pages enableViewStateMac=false />

page level directive : <%@Page enableViewStateMac=false %>

page level script code : Page.EnableViewStateMac = false;

Listing 2: ViewState Encryption is Enabled machine.config : <machineKey validation=3DES validationKey=* />

where the validationKey must be the same across a web-farm setup

also requires the enableViewStateMac property setting to be true

在 rendering 之前,ViewState 在 Page.SavePageStateToPersistenceMedium 方法中被保存, 回发时,在 Page.LoadPageStateFromPersistanceMedium 方法中被恢复。 这两个方法都可以轻易的被重写,从而实现保存 ViewState 到 Session 中。这适合于带宽小的场合, 如移动设备默认是采用 Session.代码如下:

Listing 3: ViewState Saved in Session State protected override object LoadPageStateFromPersistenceMedium()

{

return Session[ViewState];

}

protected override void SavePageStateToPersistenceMedium( object viewState)

{

Session[ViewState] = viewState;

// Bug requires Hidden Form Field __VIEWSTATE

RegisterHiddenField(__VIEWSTATE, );

} 如果要把 ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosFormatter 类来序列化,反序列化。(serialize, deserialize)

Listing 4: ViewState Saved in Custom Store protected override object LoadPageStateFromPersistenceMedium()

{

LosFormatter format = new LosFormatter();

return format.Deserialize(YourDataStore[ViewState]);

}

protected override void SavePageStateToPersistenceMedium( object viewState)

{

LosFormatter format = new LosFormatter();

StringWriter writer = new StringWriter();

format.Serialize(writer, viewState);

YourDataStore[ViewState] = writer.ToString();

}

 

posted @ 2009-03-04 12:49 胥子维 阅读(142) 评论(0) 编辑

NVelocity 模板中引用Request (转)

         

ServerVariables:


       
            #foreach($key in $Request.ServerVariables)
           
               
               
           
            #end
       

                    $key
                    $Request.ServerVariables[$key]

       

QueryString:


         $Request.RawUrl
       
            #foreach($key in $Request.QueryString)
           
               
               
           
            #end
       

                    $key
                    $Request.QueryString($key)

posted @ 2009-03-04 11:21 胥子维 阅读(88) 评论(0) 编辑

保存ASPX 生成的html代码(转CSDN某贴)

 原文:http://topic.csdn.net/u/20080311/01/16d8154d-ba95-4191-8832-65bc191e66e7.html

 

 

不如用OutputCatch了

 

----------------------------

 

在ASP.NET 2.0中,有时候需要对ASP.NET生成的HTML代码进行处理,或者是保存成静态文件。ASP.NET 提供了直接将请求保存成文件的方法:HttpRequest.SaveAs方法。下面这个方法就是在ASP.NET 2.0中得到ASP.NET生成的HTML代码,同时,生成一个静态文件的方法。


C#

<%@ Page Language="C#" AutoEventWireup="true" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
// 计算数据,完全可以从数据看取得
ICollection CreateDataSource( )
{
System.Data.DataTable dt = new System.Data.DataTable();
System.Data.DataRow dr;
dt.Columns.Add(new System.Data.DataColumn("学生班级", typeof(System.String)));
dt.Columns.Add(new System.Data.DataColumn("学生姓名", typeof(System.String)));
dt.Columns.Add(new System.Data.DataColumn("语文", typeof(System.Decimal)));
dt.Columns.Add(new System.Data.DataColumn("数学", typeof(System.Decimal)));
dt.Columns.Add(new System.Data.DataColumn("英语", typeof(System.Decimal)));
dt.Columns.Add(new System.Data.DataColumn("计算机", typeof(System.Decimal)));

for (int i = 0 ; i < 50 ; i++)
{
System.Random rd = new System.Random(Environment.TickCount * i); ;
dr = dt.NewRow();
dr[0] = "班级" + i.ToString();
dr[1] = "【孟子E章】" + i.ToString();
dr[2] = System.Math.Round(rd.NextDouble() * 100, 2);
dr[3] = System.Math.Round(rd.NextDouble() * 100, 2);
dr[4] = System.Math.Round(rd.NextDouble() * 100, 2);
dr[5] = System.Math.Round(rd.NextDouble() * 100, 2);
dt.Rows.Add(dr);
}
System.Data.DataView dv = new System.Data.DataView(dt);
return dv;
}

protected void Page_Load( object sender, EventArgs e )
{
if (!IsPostBack)
{
GridView1.DataSource = CreateDataSource();
GridView1.DataBind();
}
}
protected override void Render( HtmlTextWriter writer )
{
System.IO.StringWriter html = new System.IO.StringWriter();
System.Web.UI.HtmlTextWriter tw = new System.Web.UI.HtmlTextWriter(html);
base.Render(tw);
System.IO.StreamWriter sw;
sw = new System.IO.StreamWriter(Server.MapPath("a.htm"), false, System.Text.Encoding.Default);
sw.Write(html.ToString());
sw.Close();
tw.Close();
Response.Write(html.ToString());
}
</script>

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>得到ASP.NET生成的HTML</title>
</head>
<body>
<form id="Form1" runat="server">
<asp:GridView ID="GridView1" runat="server" Font-Size="12px" BackColor="#FFFFFF"
GridLines="Both" CellPadding="4" Width="560">
<HeaderStyle BackColor="#EDEDED" Height="26px" />
</asp:GridView>
</form>
</body>

VB.NET

<%@ Page Language="VB" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
Function CreateDataSource() As ICollection
Dim dt As System.Data.DataTable = New System.Data.DataTable
Dim dr As System.Data.DataRow
dt.Columns.Add(New System.Data.DataColumn("学生班级", GetType(System.String)))
dt.Columns.Add(New System.Data.DataColumn("学生姓名", GetType(System.String)))
dt.Columns.Add(New System.Data.DataColumn("语文", GetType(System.Decimal)))
dt.Columns.Add(New System.Data.DataColumn("数学", GetType(System.Decimal)))
dt.Columns.Add(New System.Data.DataColumn("英语", GetType(System.Decimal)))
dt.Columns.Add(New System.Data.DataColumn("计算机", GetType(System.Decimal)))
Dim i As Integer = 0
For i = 0 To 50 - 1

Dim rd As System.Random = New System.Random(Environment.TickCount * i)
dr = dt.NewRow
dr(0) = "班级" + i.ToString
dr(1) = "【孟子E章】" + i.ToString
dr(2) = System.Math.Round(rd.NextDouble * 100, 2)
dr(3) = System.Math.Round(rd.NextDouble * 100, 2)
dr(4) = System.Math.Round(rd.NextDouble * 100, 2)
dr(5) = System.Math.Round(rd.NextDouble * 100, 2)
dt.Rows.Add(dr)
Next
Dim dv As System.Data.DataView = New System.Data.DataView(dt)
Return dv
End Function

Protected Sub Page_Load(ByVal sender As Object, ByVal e As EventArgs)
If Not IsPostBack Then
GridView1.DataSource = CreateDataSource()
GridView1.DataBind()
End If
End Sub

Protected Overloads Overrides Sub Render(ByVal writer As HtmlTextWriter)
Dim html As System.IO.StringWriter = New System.IO.StringWriter
Dim tw As System.Web.UI.HtmlTextWriter = New System.Web.UI.HtmlTextWriter(html)
MyBase.Render(tw)
Dim sw As System.IO.StreamWriter
sw = New System.IO.StreamWriter(Server.MapPath("a.htm"), False, System.Text.Encoding.Default)
sw.Write(html.ToString)
sw.Close()
tw.Close()
Response.Write(html.ToString)
End sub
</script>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>得到ASP.NET生成的HTML</title>
</head>
<body>
<form id="Form1" runat="server">
<asp:GridView ID="GridView1" runat="server" Font-Size="12px" BackColor="#FFFFFF"
GridLines="Both" CellPadding="4" Width="560">
<HeaderStyle BackColor="#EDEDED" Height="26px" />
</asp:GridView>
</form>
</body>
</html


</html>

 

 

 

---------------------------------------

 

 絕對不應該在一個站點中使用WebRequest去訪問同一個站點的頁面.這可能會導致阻塞IIS進程而發生超時.即使不阻塞,也會佔用寶貴的IIS線程.
可以在其他非同一個應用程序池的網站訪問,或者使用win form程序定時訪問.

 


posted @ 2009-03-04 10:50 胥子维 阅读(249) 评论(0) 编辑