【C#.NET】ASP.NET状态管理之五:隐藏域、ViewState、ControlState

一、使用隐藏域

Session、Application和Cache都是保存在服务器内存中的。一般来说我们是无权访问客户端的机器&＃xff0c;把数据直接保存在客户端的&＃xff08;COOKIE是一个例外&＃xff0c;不过COOKIE只能保存不超过4K的字符串&＃xff09;。我们可以想一下还有哪里可以让我们暂时保存数据的&＃xff1f;那就是页面&＃xff01;如果我们在Web页面中放置一个Label控件&＃xff0c;然后设置它隐藏。那么我们就可以使用这个Label来保存一些临时数据&＃xff0c;供当前页面的程序使用。

在ASP.NET中&＃xff0c;我们还可以使用隐藏域来进行类似的工作&＃xff0c;和Label不同的是&＃xff0c;在隐藏域中填写的内容不会直接显示在IDE的设计视图中。由于我们保存的这些数据根本不需要显示给用户看&＃xff0c;所以用隐藏域更合理一些。

编程快乐" />

在代码中可以直接访问隐藏域的Value属性获得其值。

Response.Write(HiddenField1.Value);

不过&＃xff0c;这样做还有几个不合理的地方。

·      数据直接暴露给用户。

·      只能存储字符串数据。

二、使用ViewState

ASP.NET引入了ViewState&＃xff08;视图状态&＃xff09;的概念。从这个名字上我们大概可以体会出&＃xff0c;ViewState主要是用来存放和视图有关的一些状态。比如&＃xff0c;在用户注册时用户填写了一大堆数据&＃xff0c;提交页面后系统返回了一个“用户名重复”的出错信息&＃xff0c;此时先前用户在页面上填写的一些注册资料全部没有了。用户会是什么感觉呢&＃xff1f;我想大多数用户会很恼火。ASP.NET通过ViewState自动保存控件的状态。你可能也发现了&＃xff0c;文本框中的数据在页面提交后还是存在的。

同时&＃xff0c;我们也可以利用ViewState来保存一些程序需要的数据。ViewState中的数据默认是使用base64进行编码的&＃xff0c;因此&＃xff0c;用户不能直接看到里面的数据。我们在代码中可以这样添加一个ViewState项&＃xff1a;

ViewState["test"] &＃61; "编程快乐";

打开页面&＃xff0c;观察源代码&＃xff0c;ViewState就在这里&＃xff1a;

CMUgAMjbpmAwtMtwPE&＃43;b5Ii8uRFaO42AgKyR&＃43;u9T0Be" />

既然ViewState是存在页面上的&＃xff0c;那么ViewState肯定是不能跨页面使用的&＃xff0c;而且每个用户访问到的ViewState都是独立的。此外&＃xff0c;ViewState也没有什么声明周期的概念&＃xff0c;页面在ViewState就在&＃xff0c;页面关闭了ViewState就关闭了。

观察上面的ViewState&＃xff0c;是不是找不到“编程快乐”这几个字的影子呢&＃xff1f;请在页面上随便加入一个按钮&＃xff0c;按钮的Click事件处理方法如下&＃xff1a;

Response.Write(System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(

Request["__VIEWSTATE"])));

如图5-1所示&＃xff0c;单击按钮后页面显示如下。

图5-1  对ViewState数据进行base64解码

我们对ViewState数据进行base64解码后就能看到“编程快乐”的字样了。不过&＃xff0c;现在的那串字符串还是很乱。其实&＃xff0c;ASP.NET首先对ViewState中的数据进行序列化&＃xff0c;然后再使用base64编码后存储在页面的隐藏域中。base64不是什么加密算法&＃xff0c;只是一种编码算法&＃xff0c;任何人都能对base64进行反     编码。

三、ViewState的安全与性能

如果我们需要在ViewState中保存一些相对比较机密的数据&＃xff08;当然&＃xff0c;非常机密的数据不建议你保存在ViewState中&＃xff09;&＃xff0c;又如何保证ViewState的安全性呢&＃xff1f;一般来说可以从两个方面入手。

1&＃xff0e;保证客户端提交过来的ViewState没有被修改。我们做Web应用程序&＃xff0c;心中要有这样一个意识&＃xff0c;那就是客户端的一切都是不可相信的。大家可能以为只有我们提供了诸如TextBox等控件&＃xff0c;用户才能修改。其实这种观点是错误的&＃xff0c;虽然DropDownList中的内容只允许选择不允许修改&＃xff0c;但完全可以伪造一个页面进行提交。对于ViewState也是同样道理&＃xff0c;为了进一步的安全&＃xff0c;我们需要验证客户端发回的ViewState是否已经被修改了。

2&＃xff0e;保证用户不能直接看到ViewState中的数据。说白了就是对ViewState进行加密。

在ASP.NET 2.0中&＃xff0c;我们只需要进行简单地配置就能对ViewState进行验证和加密&＃xff0c;在页面头部添加EnableViewStateMac&＃xff08;验证&＃xff09;和ViewStateEncryptionMode&＃xff08;加密&＃xff09;属性&＃xff1a;

<%&＃64; Page Language&＃61;"C#"   … EnableViewStateMac&＃61;"true" ViewStateEncryptionMode&＃61;"Always" %>

当然&＃xff0c;如果你希望为所有页面的ViewState应用验证和加密&＃xff0c;可以在Web.config的system.Web节点中添加&＃xff1a;

既然ViewState中的数据是序列化后加入的&＃xff0c;那么我们就可以把一些复杂的类型也存放到ViewState中。在介绍Session的时候我们曾建立过一个MyUser自定义类&＃xff0c;并把它的实例存放到了Session中&＃xff0c;后来为了让StateServer和SqlServer模式的Session也能保存MyUser类型&＃xff0c;我们又为MyUser标记了[Serializable]。在ViewState中保存自定义类型同样需要为类型标记[Serializable]&＃xff0c;那么在这里我们使用ViewState保存MyUser实例的代码就和使用Session差不多。

MyUser user &＃61; new MyUser();

user.sUserName &＃61; "小朱";

user.iAage &＃61; 24;

ViewState["CustomClass"] &＃61; user;

读取代码&＃xff1a;

MyUser user &＃61; ViewState["CustomClass"] as MyUser;

Response.Write(user.ToString());

那么&＃xff0c;ViewState中能保存多少数据呢&＃xff1f;暂且不说表单Post的数据是有大小上限的&＃xff0c;ViewState是经过序列化和编码后保存在页面中的。如果我们在ViewState中保存一个拥有100条记录的DataSet&＃xff0c;恐怕页面就很难打开了。不信&＃xff0c;你可以自己做一个试验。

DataSet ds &＃61; new DataSet();

using (SqlConnection conn &＃61; new SqlConnection(&＃64;"server&＃61;(local)"SQLEXPRESS;database&＃61;

Forum;Trusted_Connection&＃61;True"))

{

    SqlDataAdapter da &＃61; new SqlDataAdapter("select top 100 * from CacheTest", conn);

    da.Fill(ds);

}

ViewState["Data"] &＃61; ds;

仅仅只有100条记录&＃xff0c;在ViewState就成这样了&＃xff0c;如图5-2所示。

图5-2  滥用ViewState的结果

而且这些数据还要在浏览器和服务器之间往返&＃xff0c;占用的网络流量很客观。因此&＃xff0c;笔者建议你在ViewState中保存尽量少的数据。如果实在需要在ViewStatge中放置大量数据建议使用maxPageState- FieldLength对ViewState启用分块传输。

<%&＃64; Page Language&＃61;"C#"   … maxPageStateFieldLength&＃61;"100"%>

如图5-3所示就设置了单个ViewState&＃xff0c;不超过100字节&＃xff0c;ViewState分成了几个部分。

图5-3  使用maxPageStateFieldLength控制每个ViewState不超过100字节

我们知道&＃xff0c;ViewState不仅仅是我们在使用&＃xff0c;ASP.NET会把控件交互相关的一些数据都存放到ViewState中&＃xff0c;但是对于一些不实现任何交互的控件&＃xff08;比如显示10条记录的GridView&＃xff09;&＃xff0c;你可以设置控件的EnableViewState属性为false来让控件不使用ViewState&＃xff0c;从而减少页面体积。

四、  ControlState概述

最后&＃xff0c;我们再简单提一下&＃xff0c;ASP.NET 2.0提供了ControlState。它用于保存&＃xff08;自定义&＃xff09;控件的关键信息。就算页面或者控件的ViewState被关闭它还能起作用&＃xff0c;弥补了ViewState能被禁止的不足。不过使用ControlState稍显复杂&＃xff0c;我们需要自己序列化复杂对象进行存储。下面的代码演示了如何在ControlState中保存和读取简单字符串&＃xff1a;

PageStatePersister.ControlState &＃61; "编程快乐";

Response.Write(PageStatePersister.ControlState.ToString());

五、总结

其实隐藏域、ViewState和ControlState的原理差不多&＃xff0c;我们来总结一下。

·      存储的物理位置。表单隐藏域。

·      存储的类型限制。可序列化类型&＃xff08;直接在隐藏域中保存内容需要自己序列化&＃xff09;。

·      状态使用的范围。当前页面&＃xff08;当前控件&＃xff09;&＃xff0c;对用户独立。

·      存储的大小限制。存储过大数据会导致页面不能正常打开&＃xff0c;不能正常提交。

·      生命周期。页面在就在&＃xff0c;页面不在也就不在了。三者始终是依附在页面的隐藏域中的。

·      安全与性能。在客户端存储&＃xff0c;安全性低。不过&＃xff0c;ViewState提供了验证和加密。

·      优缺点与注意事项。存储少量数据非常方便简单。但需要注意不要存储敏感数据&＃xff0c;不要存储过大的数据。它们和前面说的COOKIE、Session与Application不同。虽然COOKIE也是存储在客户端&＃xff0c;每次提交都附加在HTTP头中进行提交&＃xff0c;但是它的数据量毕竟不大&＃xff0c;起了一个标记的作用。Session和Application都是存储在服务器端的&＃xff0c;不会参与页面往返过程。隐藏域、ViewState和ControlState始终参与往返&＃xff0c;而且序列化和反序列化会消耗一定资源&＃xff0c;因此&＃xff0c;存储过大的数据会导致网页加载过慢&＃xff0c;浪费服务器带宽。