FineUI(开源版)v6.0中FState服务器端验证的实现原理

前言

1. FineUI(开源版)是完整开源,最早发起于 2008-04,下载全部源代码:http://fineui.codeplex.com/

2. 你可以通过捐赠作者来支持FineUI(开源版)的发展:http://fineui.com/donate/

 

FineUI的FState与ViewState

早在2013-01 我曾写过一篇文章,对FState有详细介绍:http://www.cnblogs.com/sanshi/archive/2013/01/08/2850459.html

现在来简要回顾一下:

1. ViewState是ASP.NET WebForm的基石,用来在页面回发过程中维持控件状态,这样我们才能在后台方便的使用控件的服务器端属性。

2. FineUI的AJAX回发过程中,相同的数据会同时存在于ViewState和返回的JavaScript代码中,造成数据重复浪费!

3. FState机制替换ViewState后,只会在回发数据中保留一份数据,减少了数据的传输量。

 

对于,常见的误解与纠正:

1. FineUI中不能使用ViewState了。错!!

     FineUI只是实现了一套类似ViewState的机制,但是ViewState本身还是存在的,你依然可以在页面上调用ViewState对象存储数据。

2. 不使用ViewState了,FineUI控件不能维持状态了。错!!

     FState是在AJAX环境中对ViewState的一种改进和提高,目的是为了减少数据传输量。你依然可以方便在C#代码中使用控件属性

 

FineUI中的FState可以被恶意篡改

FState用来在页面回发过程中维持控件的状态,但是由于FState完全以JavaScript变量的形式暴露出来,很容易被恶意用户在客户端进行篡改。

首先来看一个简单的页面:

<f:PageManager ID="PageManager1" runat="server" />
<f:DropDownList runat="server" ID="DropDownList1">
    <f:ListItem Text="可选项1" Value="Value1" Selected="true" />
    <f:ListItem Text="可选项2" Value="Value2" />
    <f:ListItem Text="可选项3" Value="Value3" />
</f:DropDownList>
<f:Button runat="server" Text="提交" 
    ID="btnSubmit" OnClick="btnSubmit_Click"></f:Button>

后台的按钮事件:

protected void btnSubmit_Click(object sender, EventArgs e)
{
    Alert.Show("下拉列表选中项:" + DropDownList1.SelectedValue);
}

页面运行效果:

在页面生成的HTML代码,我们可以看到 f_state 的身影:

 

下面我们通过一个例子来讲解 FState 的作用,假如用户在前台对下拉列表的数据进行了重新绑定:

var ddl = F("DropDownList1");
var newdata = [
    ["Data1", "数据1", 1],
    ["Data2", "数据2", 1],
    ["Data3", "数据3", 1]
];
ddl.store.loadData(newdata);
ddl.setValue("Data1");

此时点击提交按钮,效果:

之所以后台取不到下拉列表的选中值,是因为后台从FState恢复了下拉列表的项分别是“选项一”,“选项二”和“选项三”。

而对于客户端重新绑定的新数据源,后台一无所知,因此拿新的选中项值 Data1 去检索时,自然就找不到对应的项了,所以此时SelectedValue==null

 

这个逻辑自然是正确的,但是由于 FState 是以JavaScript的形式返回到页面的,所以恶意用户自然就可以篡改这个值了:

var ddl = F("DropDownList1");
var newdata = [
    ["Data1", "数据1", 1],
    ["Data2", "数据2", 1],
    ["Data3", "数据3", 1]
];

ddl.f_state.F_Items = newdata;
ddl.store.loadData(newdata);
ddl.setValue("Data1");

此时再点击提交按钮:

此时服务器已经接受了这个客户端恶意篡改的值!!这个就不对了。

 

如果是文本输入框的值,我们自然是要手工进行服务器端验证的,不要相信客户端传入的任何值,因为都有可能被篡改!

但是如果能默认提供一种内置的验证机制,让这种恶意修改FState的行为消失,岂不是更好。FineUI v6.0对此进行了增强。

 

FineUI v6.0 中默认的FState服务器端验证

完全相同的例子,在 FineUI v6.0 中,如果通过客户端修改下拉列表的f_state和内部数据,此时提交按钮:

 

这个就是我们的保护机制,保护服务器端输出的FState信息不会在客户端被恶意修改。

那么这种保护机制是如何实现的呢?我们从生成的网页代码来分析一下:

 

可以看到,控件除了生成 f_state 属性,还额外附加了一个 f_state_v 属性,这个很容易理解为对 f_state 的加密值。

那么在页面回发时,只需要把这个 f_state_v 的值一块回发,后台进行解密验证即可。我们来看下HTTP请求的参数:

这里没有 f_state_v 的身影,那是因为他隐藏在 F_STATE 变量中的,这个值是 Base64 编码的,我们解码后看下:

{
    "DropDownList1": [{
        "F_Items": [
            ["Data1", "\u6570\u636e1", 1],
            ["Data2", "\u6570\u636e2", 1],
            ["Data3", "\u6570\u636e3", 1]
        ],
        "SelectedValue": "Value1",
        "SelectedValueArray": ["Value1"]
    }, "e1ae24"]
}

可以看到,这个 f_state_v 的确一起回发到后台了。

这个逻辑其实并不复杂:

1. 页面初始化时,除了生成控件的 f_state 之外,还额外的生成一个加密后的信息 f_state_v

2. 页面回发时,后台把这两个值进行校验,就知道是否在客户端被修改了

3. 如果后台控件的属性发生变化,还重新生成 f_state_v 更新到前台

 

这里给出后台的主要逻辑代码,完整源代码请自行下载:

private static string GetFStateValidation(JObject stateObj)
{
    string fstate = stateObj.ToString(Newtonsoft.Json.Formatting.None);
    return GetShortMD5HashWithSeed(fstate);
}

private static bool ValidateFState(JObject stateObj, string validationString)
{
    string fstate = stateObj.ToString(Newtonsoft.Json.Formatting.None);
    string fstateCode = GetShortMD5HashWithSeed(fstate);

    if (fstateCode == validationString)
    {
        return true;
    }
    else
    {
        return false;
    }
}

private static string GetShortMD5HashWithSeed(string fstate)
{
    string md5HashStr = StringToMD5Hash(fstate + GetFStateValidationSeed());
    return md5HashStr.Substring(0, 3) + md5HashStr.Substring(md5HashStr.Length - 3, 3);
}

private static string StringToMD5Hash(string inputString)
{
    MD5CryptoServiceProvider md5 = new MD5CryptoServiceProvider();
    byte[] encryptedBytes = md5.ComputeHash(Encoding.ASCII.GetBytes(inputString));
    string a = System.Text.Encoding.Default.GetString(encryptedBytes);

    StringBuilder sb = new StringBuilder();
    for (int i = 0; i < encryptedBytes.Length; i++)
    {
        sb.AppendFormat("{0:x2}", encryptedBytes[i]);
    }
    return sb.ToString();
}

private static string _fstateValidationSeed = String.Empty;
private static string GetFStateValidationSeed()
{
    if (String.IsNullOrEmpty(_fstateValidationSeed))
    {
        _fstateValidationSeed = new Guid().ToString();
    }
    return _fstateValidationSeed;
}

 

小结

这篇文章讲解了FineUI中的FState取代ViewState的原因,恶意用户如何在客户端篡改FState,然后介绍了FineUI v6.0对 FState 的保护机制。

然后我们从生成的页面HTML入手,简要分析了FState验证机制的实现原理。

 

感兴趣的朋友可以自行下载源代码分析:http://fineui.codeplex.com/

 

关于开源和坚持

FineUI(开源版)开始于 2008-04,8年多时间内,我们坚持更新了 128 个版本,内部使用的 extjs 从最初的 v2.x,v3.x,到后来的v4.x,FineUI v6.0 使用了最新的extjs v6.2.0。

8 年间,我们看过太多的开源项目轰轰烈烈的来,平平淡淡的去,那些曾经熟悉的身影,曾经陪伴我们的代码,都已经不复存在。其实很多时候,开源项目不是被新技术淘汰,而是被开源作者所丢弃,不免让人扼腕叹息。

每个存在都有存在的价值,时间总会让之前的东西看起来不再那么新奇好玩,但是还有那么一帮曾经关注的网友,一直在使用的用户,只有不断的更新,才不会让关心你的人失望。

 

 

任何事物的存在价值是无限的!

 

posted @ 2016-10-24 08:42 三生石上 阅读(...) 评论(...) 编辑 收藏