在web窗體控件設置為runat = "server",這個控件會被附加一個隱藏的屬性_ViewState,_ViewState存放了所有控件在ViewState中的狀態值。ViewState是一個名稱/值的對象集合。當請求某個頁面時,ASP.NET會把所有控件的狀態序列化成一個字符串,然後作為窗體的隱藏屬性送到客戶端,當客戶端吧頁面回傳時,ASP.NET分析回傳的窗體屬性,並賦給控件對應的值。
當我們在寫一個asp.net表單時, 一旦標明了 form runat=server ,那麼,asp.net就會自動在輸出時給頁面添加一個隱藏域
<input type="hidden" name="__VIEWSTATE" value="">
那麼,有了這個隱藏域,頁面裡其他所有的控件的狀態,包括頁面本身的一些狀態都會保存到這個控件值裡面. 每次頁面提交時一起提交到後台,asp.net對其中的值進行解碼,然後輸出時再根據這個值來恢復各個控件的狀態. 我們再看這個控件的value值,它可能類似如下的形式:Oz4+O2w8aTwxPjs+O2w8.... 很多人會認為這是加密的信息,其實不是, ms僅僅是給各個控件和頁面的狀態存入適當的對象裡面,然後把該對象序列化, 最後再做一次base64編碼,直接賦值給viewstate控件.
一、ViewState的原理
1.浏覽器請求Default.aspx頁面
2.在服務器端 發現創建的ViewState 這個時候 會自動創建一個名字叫做__VIEWSTATE(雙下滑線 全部是大寫)的隱藏域 其隱藏域的值經過base64加密以後返回到浏覽器端這一加密過程在頁面生命周期的SaveState事件中的SaveAllState方法中完成
3.當浏覽器提交表單的時候 將__VIEWSTATE的隱藏域也一起提交到服務端 這個時候 頁面生命周期的ReadState事件的ReadAllState方法會將加密後的值反base64解密 最後將值賦值給名字叫做name的ViewState
4.最後來操作ViewState中的值
二、ViewState的用法:
1.定義ViewState屬性
public int PageCount{
get{return (int)ViewState["PageCount"];}
set{ViewState["PageCount"]=value;}
}
2.使用ViewState的條件
如果要使用ViewState,則在ASPX頁面中必須要有一個服務器端窗體標記(<form runat = "server">)。窗體字段是必須的,這樣包含ViewState信息的隱藏字段才能被傳回服務器。而且,該窗體還必須是服務器端的窗體,這樣在服務器上執行該頁面時,ASP.net頁面框架才能添加隱藏字段。
page的EnableViewState 屬性值為true
控件的EnableViewState 屬性值為 true
3.ViewState需要注意的地方
a. 當存在頁面回傳時,不需要維持控件的值就要把 ViewState 禁止。
b. ViewState的索引是大小寫敏感的。
c. ViewState不是跨頁面的。
d. 為了能保存在 ViewState中,對象必須是可流化或者定義了 TypeConverter。
e. 控件 TextBox 的 TextMode 屬性設置為 Password時,它的狀態將不會被保存在 ViewState 中,這應該是出於安全性的考慮。
f. 在頁面沒有回傳或重定向或在回傳中轉到(transfer)其他頁面時不要使用 ViewState。
g. 在動態建立控件時要小心它的 ViewState。
h. 當禁止一個程序的 ViewState 時,這個程序的所有頁面的 ViewState 也被禁止了。
i. 只有當頁面回傳自身時ViewState 才是持續的。
4.設置ViewState
ViewState可以在控件,頁,程序,全局配置中設置。缺省情況下 EnableViewState 為 true 。如果要禁止所有頁面 ViewState 功能,可以在程序配置中把 EnableViewState 設為 false 。
三、產生的 __VIEWSTATE如圖
使用ViewStateDecoder2(ViewState查看器)來看一下值
所以ViewState在安全性上面還是比較差,建議不要存放比較機密和敏感的信息,盡管ViewState可以加密,但是由於ViewState要保存在客戶端,天生就有安全性的隱患。
四、viewstate與session的對比
(1) session值是保存在服務器內存上,那麼,可以肯定,大量的使用session將導致服務器負擔加重. 而viewstate由於只是將數據存入到頁面隱藏控件裡,不再占用服務器資源,因此, 我們可以將一些需要服務器"記住"的變量和對象保存到viewstate裡面. 而sesson則只應該應用在需要跨頁面且與每個訪問用戶相關的變量和對象存儲上.
(2) session在默認情況下20分鐘就過期,而viewstate則永遠不會過期.
但viewstate並不是能存儲所有的.net類型數據,它僅僅支持String、Integer、Boolean、Array、ArrayList、Hashtable 以及自定義的一些類型.
任何事物都有兩面性, 使用viewstate會增加頁面html的輸出量,占用更都的帶寬,這一點是需要我們慎重考慮的. 另外, 由於所有的viewstate都是存儲在一個隱藏域裡面,用戶可以很容易的通過查看源碼來看到這個經過base64編碼的值.然後再經過轉換就可以獲取你存儲其中的對象和變量值。
