viewstate的安全

原创 2004年07月22日 20:34:00

最近学习viewstae,心得和摘要如下:

由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。

可以向应用程序中添加两种 ViewState 安全级别:

  • 防篡改
  • 加密

需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为 ViewState 添加安全性。

防篡改

尽管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输入的值。

可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追加一个散列代码:

<%@Page EnableViewStateMAC=true %> 

可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被丢弃,同时控件将恢复为原来的设置。

默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所示:

<machineKey validation="MD5" /> 

加密

可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置 EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为 3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。

<machineKey validation="3DES" /> 

Web 领域中的 ViewState 安全性

默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供一个唯一的、共享的验证密钥。

验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计算机支持)。例如:

<machineKey validation="SHA1" validationKey=" F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A 23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" /> 

System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:

<%@ Page Language="c#" %> <%@ Import Namespace="System.Security.Cryptography" %> <HTML> <body> <form runat="server"> <H3>生成随机加密密钥</H3> <P> <asp:RadioButtonList id="RadioButtonList1" runat="server" RepeatDirection="Horizontal"> <asp:ListItem Value="40">40-byte</asp:ListItem> <asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem> </asp:RadioButtonList>&nbsp; <asp:Button id="Button1" runat="server" onclick="GenerateKey" Text="生成密钥"> </asp:Button></P> <P> <asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine" Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False"> 复制并粘贴生成的结果</asp:TextBox></P> </form> </body> </HTML> <script runat=server> void GenerateKey(object sender, System.EventArgs e) { int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value); // 在此处放入用于初始化页面的用户代码 byte[] buff = new Byte[keylength/2]; RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); // 该数组已使用密码增强的随机字节进行填充 rng.GetBytes(buff); StringBuilder sb = new StringBuilder(keylength); int i; for (i = 0; i < buff.Length; i++) { sb.Append(String.Format("{0:X2}",buff[i])); } // 粘贴到文本框,用户可从中复制 TextBox1.Text = sb.ToString(); } </script> 

ViewState的使用与配置

 ViewState就是页面中的名字叫做__VIEWSTATE的隐藏控件,它使我们页面体积膨胀,不利于页面的seo优化;页面返送间都要携带更多的大量的数据,耗费更多的流量、延长响应时间。 ...
  • yygzs2012
  • yygzs2012
  • 2017年04月06日 16:03
  • 371

页面ViewState体积庞大影响性能解决方案

我们都知道asp.net 服务器控件状态都是通过ViewState对象存储的,实际上是存储在客户端页面上的隐藏域中,当数据量过大时频繁和服务器传输,严重影响性能。直接想到的办法就是把这些数据储存到别的...
  • taoerchun
  • taoerchun
  • 2015年05月07日 17:15
  • 1096

纠正对viewstate的误解

前言        最近在招聘面试的过程中,我经常会问应聘者一些基础的问题,例如:“谈谈你对viewstate的理解”。发现很少有人能回答出来。         可能很多人会笑话,这真是个老掉牙的而且...
  • dinglang_2009
  • dinglang_2009
  • 2014年03月05日 22:42
  • 2270

使用PHP的CURL模拟POST采集开了viewstate的asp.net网页数据

/**     QQ群:223494678     函数:模拟post得到所有分页的页面信息     参数:         string $EVENTARGUMENT         st...
  • Allen_Tsang
  • Allen_Tsang
  • 2015年07月27日 18:35
  • 1160

ASP.NET 状态管理(视图状态 ViewState)

无论 Web 程序框架多么先进,它都不能改变一个事实:HTTP是一种无状态协议。        每次 Web 请求后,客户端和服务器端断开,同时 ASP.NET 引擎释放页面对象。这种架构保证了...
  • dragon_ton
  • dragon_ton
  • 2015年09月27日 23:44
  • 588

ExtAspNet应用技巧(六) - ViewState与动态创建控件

文章截图 - 更好的排版 问题描述 在上一篇文章中,首先在页面上以声明的方式定义个工具栏按钮,然后在后台通过编程的方式定义另一个按钮。 1. Asp.net页面声明: ...
  • u010918003
  • u010918003
  • 2013年06月24日 11:29
  • 616

使用PHP的CURL模拟POST采集开了viewstate的asp.net网页数据

用.NET做的网站如果做成POST提交方式,且开了viewstate的话,采集起来有点小繁琐,在此跟大家分享一下做法。 采的难点是必須先取得表單裏面的viewstate和datavalidtion兩...
  • sibang
  • sibang
  • 2014年08月21日 16:56
  • 547

Ted Mosby - 一个MVP框架的软件架构

Ted Mosby - 软件架构 作者:Hannes Dorfmann原文链接 : [http://hannesdorfmann.com/android/mosby/]  (http://ha...
  • miao309410364
  • miao309410364
  • 2015年11月11日 19:19
  • 657

viewstate的用法

最近看赵老师博客的时候,看到一个概念,赵老师在使用asp.net的时候都是先把整个项目的viewstate禁用掉,以减少页面的载重,提高网页的访问速度。然后我又浏览了一些当地的用asp.net做的网站...
  • junboyboy
  • junboyboy
  • 2014年01月06日 17:13
  • 791

通过asp控件的PostBack来窥探ViewState

下面是一个使用了asp控件的PostBack功能的例子
  • SHINIKAMI
  • SHINIKAMI
  • 2017年11月17日 02:44
  • 31
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:viewstate的安全
举报原因:
原因补充:

(最多只允许输入30个字)