关于ASP.NET的ViewState相关学习

已于 2022-07-22 08:45:32 修改
阅读量510 收藏
点赞数 1
分类专栏: .NET 文章标签: ViewState
于 2022-07-20 16:55:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_love_/article/details/125895175
版权

由于ASP.NET存在服务器端控件,但是Web又是无状态的,于是就用到了ViewState,将服务器控件状态信息存储到ViewState,通过与服务器交互进行数据的传递。而ViewState其实是存储在hidden中,这样就很容易被非法获取、篡改。

于是今天的引子就出来了,即初步研究下ViewState相关原理机制,然后一定程度解决前文所述问题。

有两篇好文可以先分享出来:

.Net 反序列化之 ViewState 利用 - 安全客,安全资讯平台 (anquanke.com)https://www.anquanke.com/post/id/221630#h2-4ASP.NET 小技巧:重写 ViewState 的存储目的地,以提高页面性能 - 走看看 (zoukankan.com)http://t.zoukankan.com/RChen-p-338327.html我这里从实用角度做一简化,从代码层面、配置方面简单记录下。

代码层面,ViewState主要就涉及2个Page重写方法:

一个是加载ViewState(来源于客户端)LoadPageStateFromPersistenceMedium()

一个是保存ViewState(然后输出到客户端)SavePageStateToPersistenceMedium(object state)

那么,我们为了防篡改,可以对这两个方法进行重写,对保存ViewState进行加密、对加载ViewState解密处理。

保存ViewState进行加密

        /// <summary>
        /// 传递到前端执行,进行数据加密
        /// </summary>
        /// <param name="viewState"></param>
        protected override void SavePageStateToPersistenceMedium(object viewState)
        {
            LosFormatter format = new LosFormatter();
            StringWriter writer = new StringWriter();
            //序列化
            format.Serialize(writer, viewState);

            string vsRaw = writer.ToString();
            //加密
            string vsText = DESCryptoServiceHelper.Encrypt(vsRaw);

            Pair pair;
            PageStatePersister persister = this.PageStatePersister;
            object newViewState;
            if (viewState is Pair)
            {
                pair = (Pair)viewState;
                persister.ControlState = pair.First;
                newViewState = pair.Second;
            }
            else
            {
                newViewState = viewState;
            }
            //重新保存
            persister.ViewState = vsText;
            persister.Save();
        }

加载ViewState解密

        /// <summary>
        /// 后台加载的时候调用,需要先解密
        /// </summary>
        /// <returns></returns>
        protected override object LoadPageStateFromPersistenceMedium()
        {
            PageStatePersister persister = this.PageStatePersister;
            persister.Load();

            if (persister != null)
            {
                string viewState = persister.ViewState.ToString();

                string vsRaw = DESCryptoServiceHelper.Decrypt(viewState);

                LosFormatter formatter = new LosFormatter();
                //解密
                return formatter.Deserialize(vsRaw);
            }
            return null;
        }

Web.Config配置

<system.web>
    <compilation debug="true" targetFramework="4.0" />
    <pages viewStateEncryptionMode="Always" enableViewStateMac="true"></pages>
</system.web>

配置节点pages,第一个属性控制是否加密,第二个控制是否通过Mac地址加密

结果验证

默认前端的ViewState是可以反序列化的,即便通过第一种方法进行加密后也是可以反序列化的,不过反序列化后的内容,其实是加密的结果,也是可以起到保护作用的;

但是通过Web.Config配置加密后,是无法反序列化的,直接就报错了,看来还是.NET自己的招式比较高级。

龙井茶Sky
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net 处理原文件中过长的viewstate代码
10-29
asp.net网页原文件中总出现一段很长的viewstate代码看着就头痛 所以在网上找了篇文章解决了这个问题,虽然VIEWSTATE没有完全隐藏,但大大的改善了网页源文件中VIEWSTATE的长度。
ASP.NET中的ViewState
微笑的黄捷
08-17 968
ViewStateASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。  ViewState是类Control中的一个域,其他所有控件通过继承Control来获得了ViewState功能。它的
C#面:解释什么是viewstate,能否禁用?是否所用控件都可以禁用
最新发布
那个那个鱼的博客
05-29 636
ViewState是用于在Web应用程序中跨页面请求之间保存和恢复页面的状态数据的机制。可以通过设置EnableViewState属性为false来禁用ViewState。并非所有的控件都可以禁用ViewState,一些控件可能会依赖ViewState来维护其状态。
ASP.NETViewState
iteye_8029的博客
10-28 111
什么是ViewState? 在asp时代, 大家都知道一个html控件的值,比如input 控件值,当我们把表单提交到服务器后, 页面再刷新回来的时候, input里面的数据已经被清空. 这是因为web的无状态性导致的, 服务端每次把html输出到客户端后就不再与客户端有联系. asp.net巧妙的改变了这一点. 当我们在写一个asp.net表单时, 一旦标明了 form runat=se...
ASP.NET ViewState 初探
水丝游云
09-28 810
ViewState 到底是什么与刚接触 ASP.NET 页面的开发人员交谈时,他们通常向我提出的第一个问题就是:“那个 ViewState 到底是什么?”他们的语气中流露出的那种感觉,就象我来到一家异国情调的餐馆,侍者端上一道我从未见过的菜肴时的那种感觉 —— 既疑惑不解,又充满好奇。但肯定有人认为它不错,否则就不会提供了。所以,我会先尝一尝,或许会喜欢上它,尽管它看上去的确很古怪
Session & ViewState 用法
03-03 219
  Session,ViewState用法 基本理论: session值是保存在服务器内存上,那么,可以肯定,大量的使用session将导致服务器负担加重. 而viewstate由于只是将数据存入到页面隐藏控件里,不再占用服务器资源,因此, 我们可以将一些需要服务器"记住"的变量和对象保存到viewstate里面. 而sesson则只应该应用在需要跨页面且与每个访问用户相关的变量和对象存储上...
asp.net viewstate 回发机制
10-29
ASP.NET视图状态(ViewState)是.NET框架中用于在页面回发过程中保持用户界面状态的一种机制。在Web开发中,由于HTTP协议的无状态性,每次客户端与服务器之间的交互都会导致页面状态丢失,除非采取某种手段来存储和...
asp.netViewState的用法详解
10-23
本文给大家介绍asp.netviewstate的用法,涉及到viewstate的原理、用法、与session的对比等方面的知识,对viewstate用法感兴趣的朋友一起看看吧
asp.net viewState
u013400314的博客
08-18 532
那么,有了这个隐藏域,页面里其他所有的控件的状态,包括页面本身的一些状态都会保存到这个控件值里面. 每次页面提交时一起提交到后台,asp.net对其中的值进行解码,然后输出时再根据这个值来恢复各个控件的状态. 我们再看这个控件的value值,它可能类似如下的形式:Oz4+O2w8aTwxPjs+O2w8…当请求某个页面时,ASP.NET会把所有控件的状态序列化成一个字符串,然后作为窗体的隐藏属性送到客户端,当客户端吧页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值。.........
Asp.net中的ViewState用法
weixin_30369041的博客
01-20 89
昨天看到一个文章,作者在自己的页面中定义了几个全局变量,类型是static,但是这样的定义会存在问题,当一个用户访问的时候不会有问题,但是当大量用户并发访问系统的时候,页面中的这些static类型的全局变量就会出现问题了,然后作者改用了Session变量保存以前由static类型全局变量纪录的数据,因为Session是状态量,只是和某个访问进程相关,这样就不会出现由于static类...
真正理解ASP.NETViewState (Truly Understanding ViewState)
vividboy的专栏
01-28 9468
作者:Infinities Loop概述ViewState是一个被误解很深的动物了。我希望通过此文章来澄清人们对ViewState的一些错误认识。为了达到这个目的,我决定从头到尾详细的描述一下整个ViewState的工作机制,其中我会同时用一些例子说明我文章中的观点,结论。比如我会用静态控件(declared controls)和动态控件(dynamic controls)两个方面来说明同
ASP.NETViewState
ht_zhaoliubin的专栏
03-05 755
1、ViewState跟Session有什么不同?    ViewState只存在当前页面    比如说你在A.aspx页面里用ViewState["哈"]="哈罗";    你在B.aspx里就用不了ViewState["哈"];因为ViewState["哈"]只存在A.aspx页面    Session在内在的变量地址不同,每个用户都有一个,比如登录页面,A用户登录后,用Ses
viewstate的安全
mdot的专栏
07-22 2874
最近学习viewstae,心得和摘要如下: 由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。 可以向应用程序中添加两种 ViewState 安全级别: 防篡改 加密 需要注意的是,ViewState 安全性对于处理和呈现
viewState解密
Fanbin168的专栏
08-04 5589
viewState.csd
ASP.NET ViewState
失落空间
08-26 2220
ASP.NET ViewState 初探1. ViewState的工作原理    ViewState是由ASP.NET页面框架管理的一个隐藏的窗体字段。当ASP.NET执行某个页面时,该页面上的ViewState值和所有控件将被收集并给和格式化成一个编码字符串,然后分配给隐藏窗体字段的值属性(即)。由于隐藏窗体字段是发送到客户端的页面的一部分,所以ViewState值被临时存储在客户端的浏
ASP.NETViewState学习与联想
龙井茶的Sky
07-29 297
针对ViewState的一些了解与联想
未加密的__VIEWSTATE参数(中危)
qq_44828901的博客
12-29 5501
复现危害较低的漏洞:未加密的__VIEWSTATE参数
asp.net viewstate用法举例
05-28
ASP.NET ViewState 是一种用于在 Web 应用程序中跨请求存储数据的机制。以下是一个使用 ViewState 的示例: 假设您有一个页面,其中包含一个文本框和一个按钮。用户在文本框中输入一些文本,然后单击按钮。在单击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值