ASP.NET ViewState 初探

Susan Warren
Microsoft Corporation


与刚接触 ASP.NET 页面的开发人员交谈时，他们通常向我提出的第一个问题就是：“那个 ViewState 到底是什么？”他们的语气中流露出的那种感觉，就象我来到一家异国情调的餐馆，侍者端上一道我从未见过的菜肴时的那种感觉 - 既疑惑不解，又充满好奇。但肯定有人认为它不错，否则就不会提供了。所以，我会先尝一尝，或许会喜欢上它，尽管它看上去的确很古怪！

对于 ViewState 也是如此，但是如果适应了它的风格，您会发现在许多情况下，您将乐于在自己的 ASP.NET 应用程序中使用 ViewState，因为它可以帮助您使用更少的代码完成更多的工作。但是，有时也会对 ViewState 完全弃之不用。下面我们就这两种情况分别进行阐述，不过，让我们先回答什么是 ViewState 这个问题。

答案：ViewState 用于维护页面的 UI 状态
Web 是没有状态的，ASP.NET 页面也没有状态，它们在到服务器的每个往返过程中被实例化、执行、呈现和处理。作为 Web 开发人员，您可以使用众所周知的技术（如以会话状态将状态存储在服务器上，或将页面回传到自身）来添加状态。下面我们以图 1 中的注册窗体为例进行论述。



图 1：恢复回传的窗体值

从上图中可以看出，我为便餐选择了一个无效的值。此窗体与 Web 上的多数窗体一样友好，它在出现错误的字段旁边显示一条有用的错误消息和一个星号。而且，窗体中还显示了我在其他文本框和下拉列表中输入的所有有效值。这在某种程度上是可能的，因为 HTML 窗体元素会在 HTTP 标头中将其当前值从浏览器发送到服务器。您可以使用 ASP.NET 跟踪来查看回传的窗体值，如图 2 所示。



图 2：HTTP 窗体中回传的值（通过 ASP.NET 跟踪显示）

在 ASP.NET 之前，通过多次回传将值恢复到窗体字段中完全是页面开发人员的责任，他们将不得不从 HTTP 窗体中逐个拾取回传值，然后再将其推回字段中。幸运的是，现在 ASP.NET 可以自动完成这项任务，从而为开发人员免除了一项令人厌烦的工作，同时也无需再为窗体编写大量的代码。但这并不是 ViewState。

ViewState（英文）是一种机制，ASP.NET 使用这种机制来跟踪服务器控件状态值，否则这些值将不作为 HTTP 窗体的一部分而回传。例如，由 Label 控件显示的文本默认情况下就保存在 ViewState 中。作为开发人员，您可以绑定数据，或在首次加载该页面时仅对 Label 编程设置一次，在后续的回传中，该标签文本将自动从 ViewState 中重新填充。因此，除了可以减少繁琐的工作和代码外，ViewState 通常还可以减少数据库的往返次数。

ViewState 的工作原理
ViewState 确实没有什么神秘之处，它是由 ASP.NET 页面框架管理的一个隐藏的窗体字段。当 ASP.NET 执行某个页面时，该页面上的 ViewState 值和所有控件将被收集并格式化成一个编码字符串，然后被分配给隐藏窗体字段的值属性（即 <input type=hidden>）。由于隐藏窗体字段是发送到客户端的页面的一部分，所以 ViewState 值被临时存储在客户端的浏览器中。如果客户端选择将该页面回传给服务器，则 ViewState 字符串也将被回传。在上面的图 2 中可以看到 ViewState 窗体字段及其回传的值。

回传后，ASP.NET 页面框架将解析 ViewState 字符串，并为该页面和各个控件填充 ViewState 属性。然后，控件再使用 ViewState 数据将自己重新恢复为以前的状态。

关于 ViewState 还有三个值得注意的小问题。

如果要使用 ViewState，则在 ASPX 页面中必须有一个服务器端窗体标记 (<form runat=server>)。窗体字段是必需的，这样包含 ViewState 信息的隐藏字段才能回传给服务器。而且，该窗体还必须是服务器端的窗体，这样在服务器上执行该页面时，ASP.NET 页面框架才能添加隐藏的字段。
页面本身将 20 字节左右的信息保存在 ViewState 中，用于在回传时将 PostBack 数据和 ViewState 值分发给正确的控件。因此，即使该页面或应用程序禁用了 ViewState，仍可以在 ViewState 中看到少量的剩余字节。
在页面不回传的情况下，可以通过省略服务器端的 <form> 标记来去除页面中的 ViewState。
充分利用 ViewState
ViewState 为跨回传跟踪控件的状态提供了一条神奇的途径，因为它不使用服务器资源、不会超时，并且适用于任何浏览器。如果您要编写控件，那么肯定需要了解如何在控件中维护状态（英文）。

开发人员在编写页面时同样可以按照几乎相同的方式来利用 ViewState，只是有时页面会包含不由控件存储的 UI 状态值。您可以跟踪 ViewState 中的值，使用的编程语法与会话和高速缓存的语法类似：

[Visual Basic]
' 保存在 ViewState 中
ViewState("SortOrder") = "DESC"

' 从 ViewState 中读取
Dim SortOrder As String = CStr(ViewState("SortOrder"))

[C#]
// 保存在 ViewState 中
ViewState["SortOrder"] = "DESC";

// 从 ViewState 中读取
string sortOrder = (string)ViewState["SortOrder"];

请看下面的示例：要在 Web 页上显示一个项目列表，而每个用户需要不同的列表排序。项目列表是静态的，因此可以将这些页面绑定到相同的缓存数据集，而排序顺序只是用户特定的 UI 状态的一小部分。ViewState 非常适合于存储这种类型的值。代码如下：

[Visual Basic]
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState/title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。

单击列标题中的链接，可按该字段排序数据。

再次单击该链接，将按相反顺序排序。




<asp:datagrid id="DataGrid1" runat="server"
OnSortCommand="SortGrid" BorderStyle="None" BorderWidth="1px"
BorderColor="#CCCCCC" BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White"
BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">

' 在 ViewState 中跟踪 SortField 属性
Property SortField() As String

Get
Dim o As Object = ViewState("SortField")
If o Is Nothing Then
Return String.Empty
End If
Return CStr(o)
End Get

Set(Value As String)
If Value = SortField Then
' 与当前排序文件相同，切换排序方向
SortAscending = Not SortAscending
End If
ViewState("SortField") = Value
End Set

End Property

' 在 ViewState 中跟踪 SortAscending 属性
Property SortAscending() As Boolean

Get
Dim o As Object = ViewState("SortAscending")
If o Is Nothing Then
Return True
End If
Return CBool(o)
End Get

Set(Value As Boolean)
ViewState("SortAscending") = Value
End Set

End Property

Private Sub Page_Load(sender As Object, e As EventArgs) Handles MyBase.Load

If Not Page.IsPostBack Then
BindGrid()
End If

End Sub

Sub BindGrid()

' 获取数据
Dim ds As New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))

Dim dv As New DataView(ds.Tables(0))

' 应用排序过滤器和方向
dv.Sort = SortField
If Not SortAscending Then
dv.Sort += " DESC"
End If

' 绑定网格
DataGrid1.DataSource = dv
DataGrid1.DataBind()

End Sub

Private Sub SortGrid(sender As Object, e As DataGridSortCommandEventArgs)
DataGrid1.CurrentPageIndex = 0
SortField = e.SortExpression
BindGrid()
End Sub

</script>

[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<HTML>
<HEAD>
<title>用于页面 UI 状态值的 ViewState</title>
</HEAD>
<body>
<form runat="server">
<H3>
在 ViewState 中存储非控件状态
</H3>
<P>
此示例将一列静态数据的当前排序顺序存储在 ViewState 中。

单击列标题中的链接，可按该字段排序数据。

再次单击该链接，将按相反顺序排序。




<asp:datagrid id="DataGrid1" runat="server" OnSortCommand="SortGrid"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5" AllowSorting="True">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</HTML>
<script runat="server">

// 在 ViewState 中跟踪 SortField 属性
string SortField {

get {
object o = ViewState["SortField"];
if (o == null) {
return String.Empty;
}
return (string)o;
}

set {
if (value == SortField) {
// 与当前排序文件相同，切换排序方向
SortAscending = !SortAscending;
}
ViewState["SortField"] = value;
}
}

// 在 ViewState 中跟踪 SortAscending 属性
bool SortAscending {

get {
object o = ViewState["SortAscending"];
if (o == null) {
return true;
}
return (bool)o;
}

set {
ViewState["SortAscending"] = value;
}
}

void Page_Load(object sender, EventArgs e) {

if (!Page.IsPostBack) {
BindGrid();
}
}

void BindGrid() {

// 获取数据
DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));

DataView dv = new DataView(ds.Tables[0]);

// 应用排序过滤器和方向
dv.Sort = SortField;
if (!SortAscending) {
dv.Sort += " DESC";
}

// 绑定网格
DataGrid1.DataSource = dv;
DataGrid1.DataBind();
}

void SortGrid(object sender, DataGridSortCommandEventArgs e) {

DataGrid1.CurrentPageIndex = 0;
SortField = e.SortExpression;
BindGrid();
}

</script>

下面是上述两个代码段中引用的 testdata.xml 的代码：

<?xml version="1.0" standalone="yes"?>
<NewDataSet>
<Table>
<pub_id>0736</pub_id>
<pub_name>New Moon Books</pub_name>
<city>Boston</city>
<state>MA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>0877</pub_id>
<pub_name>Binnet & Hardley</pub_name>
<city>Washington</city>
<state>DC</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1389</pub_id>
<pub_name>Algodata Infosystems</pub_name>
<city>Berkeley</city>
<state>CA</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1622</pub_id>
<pub_name>Five Lakes Publishing</pub_name>
<city>Chicago</city>
<state>IL</state>
<country>USA</country>
</Table>
<Table>
<pub_id>1756</pub_id>
<pub_name>Ramona Publishers</pub_name>
<city>Dallas</city>
<state>TX</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9901</pub_id>
<pub_name>GGG&G</pub_name>
<city>Muenchen</city>
<country>Germany</country>
</Table>
<Table>
<pub_id>9952</pub_id>
<pub_name>Scootney Books</pub_name>
<city>New York</city>
<state>NY</state>
<country>USA</country>
</Table>
<Table>
<pub_id>9999</pub_id>
<pub_name>Lucerne Publishing</pub_name>
<city>Paris</city>
<country>France</country>
</Table>
</NewDataSet>

选择会话状态还是 ViewState？
在某些情况下，将状态值保存在 ViewState 中并不是最佳选择，最常用的替代方法就是会话状态，它通常更适用于：

大量的数据。由于 ViewState 增加了发送到浏览器的页面的大小（HTML 有效负载），同时也增加了回传的窗体的大小，因此不适合存储大量数据。
未在 UI 中显示的安全数据。尽管 ViewState 数据已被编码，并且可以选择对其进行加密，但始终不将数据发送到客户端才是最安全的。因此，会话是更安全的选择。（由于数据库需要额外的凭据进行验证，因此将数据存储在数据库中会更安全。可以添加 SSL 以获得更安全的链接。）但是，如果在 UI 中已经显示了该专用数据，那么您应该已经确认了链接的安全性。在这种情况下，将同样的值放入 ViewState 不会降低安全性。
尚未序列化到 ViewState 中的对象，如 DataSet。ViewState 序列化程序只为一小部分常用的对象类型进行了优化，如下所示。其他可序列化的类型或许可以保留在 ViewState 中，但速度会变慢，并会生成一个非常大的 ViewState。
会话状态 ViewState
是否使用服务器资源？ 是 否
是否超时？ 是，20 分钟后（默认） 否
是否存储所有 .NET 类型？ 是 否，仅支持：String、Integer、Boolean、Array、ArrayList、Hashtable 和自定义 TypeConverter
是否增加“HTML 有效负载”？ 否 是

使用 ViewState 获得最佳性能
使用 ViewState 时，每个对象都必须先序列化到 ViewState 中，然后再通过回传进行反序列化，因此使用 ViewState 并非是没有代价的。但是，如果遵循某些简单的原则对 ViewState 的成本加以控制，则通常不会产生明显的性能影响。

在不需要时禁用 ViewState。下面的“减少使用 ViewState”一节将详细介绍这一问题。
使用优化过的 ViewState 序列化程序。上面列出的类型具有专门的序列化程序，这些程序运行速度很快，并已经过优化，可以生成很小的 ViewState。如果要序列化一个未在上面列出的类型，可以创建一个自定义 TypeConverter 来显著提高它的性能。
尽量减少使用对象，如果可能，尽量减少放入 ViewState 中的对象的数目。例如，不要使用二维字符串数组（名称/值，其对象的数目与数组的长度一样多），而应使用两个字符串数组（只有两个对象）。但是，在将两个已知类型存储在 ViewState 中之前，在这两者之间转换不会获得任何性能提高，因为这样做实际上相当于付出了两次转换的代价。
减少使用 ViewState
默认情况下 ViewState 将被启用，并且是由每个控件（而非页面开发人员）来决定存储在 ViewState 中的内容。有时，这一信息对应用程序并没有什么用处。尽管也没什么害处，但却会明显增加发送到浏览器的页面的大小。因此如果不需要使用 ViewState，最好还是将它关闭，特别是当 ViewState 很大的时候。

可以基于每个控件、每个页面或每个应用程序来关闭 ViewState。在以下情况中将不再需要 ViewState：

页面 控件
页面不回传给自身。
处理的不是控件的事件。
控件没有动态的或数据绑定的属性值（或对于每一个请求它们都设置在代码中）。


DataGrid 控件是 ViewState 的一个重量级用户。默认情况下，在网格中显示的所有数据也都存储在 ViewState 中，当需要一个复杂的操作（如复杂的搜索）来获取数据时，这是非常有用的。但是，DataGrid 的这种行为有时也使得 ViewState 成为累赘。

例如，这里有一个简单的页面就属于上述情况。因为页面不回传给自身，所以它并不需要 ViewState。



图 3：带有 DataGrid1 的简单页面 LessViewState.aspx

<%@ Import Namespace="System.Data" %>
<html>
<body>
<form runat="server">
<asp:DataGrid runat="server" />
</form>
</body>
</html>
<script runat="server">

Private Sub Page_Load(sender As Object, e As EventArgs)

Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))

DataGrid1.DataSource = ds
DataGrid1.DataBind()

End Sub

</script>

启用 ViewState 时，这个小网格会给该页面增加 3000 多字节的 HTML 有效负载！使用 ASP.NET Tracing（英文）或查看发送到浏览器的页面的源代码（如以下代码所示），可以清楚地看到这一点。

<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE"
value="dDwxNTgzOTU2ODA7dDw7bDxpPDE+Oz47bDx0PDtsPGk8MT47PjtsPHQ8QDA8cDxw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_u56 ?cDxsPFRleHQ7PjtsPFdhc2hpbmd0b247Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPERDOz
4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxP
jtpPDI+O2k8Mz47aTw0Pjs+O2w8dDxwPHA8bDxUZXh0Oz47bDwxMzg5Oz4+Oz47Oz47dDxw
PHA8bDxUZXh0Oz47bDxBbGdvZGF0YSBJbmZvc3lzdGVtczs+Pjs+Ozs+O3Q8cDxwPGw8VGV
4dDs+O2w8QmVya2VsZXk7Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPENBOz4+Oz47Oz47dD
xwPHA8bDxUZXh0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxPjtpPDI+O2k8M
z47aTw0Pjs+O2w8dDxwPHA8bDxUZXh0Oz47bDwxNjIyOz4+Oz47Oz47dDxwPHA8bDxUZXh0
Oz47bDxGaXZlIExha2VzIFB1Ymxpc2hpbmc7Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPEN
oaWNhZ287Pj47Pjs7Pjt0PHA8cDxsPFRleHQ7PjtsPElMOz4+Oz47Oz47dDxwPHA8bDxUZX
h0Oz47bDxVU0E7Pj47Pjs7Pjs+Pjt0PDtsPGk8MD47aTwxPjtpPDI+O2k8Mz47aTw0Pjs+O
2w8dDxwPHA8bDxUZXh0Oz47bDwxNzU2Oz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxSYW1v
bmEgUHVibGlzaGVyczs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8RGFsbGFzOz4+Oz47Oz4
7dDxwPHA8bDxUZXh0Oz47bDxUWDs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8VVNBOz4+Oz
47Oz47Pj47dDw7bDxpPDA+O2k8MT47aTwyPjtpPDM+O2k8ND47PjtsPHQ8cDxwPGw8VGV4d
Ds+O2w8OTkwMTs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8R0dHJkc7Pj47Pjs7Pjt0PHA8
cDxsPFRleHQ7PjtsPE3DvG5jaGVuOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDwmbmJzcFw
7Oz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxHZXJtYW55Oz4+Oz47Oz47Pj47dDw7bDxpPD
A+O2k8MT47aTwyPjtpPDM+O2k8ND47PjtsPHQ8cDxwPGw8VGV4dDs+O2w8OTk1Mjs+Pjs+O
zs+O3Q8cDxwPGw8VGV4dDs+O2w8U2Nvb3RuZXkgQm9va3M7Pj47Pjs7Pjt0PHA8cDxsPFRl
eHQ7PjtsPE5ldyBZb3JrOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxOWTs+Pjs+Ozs+O3Q
8cDxwPGw8VGV4dDs+O2w8VVNBOz4+Oz47Oz47Pj47dDw7bDxpPDA+O2k8MT47aTwyPjtpPD
M+O2k8ND47PjtsPHQ8cDxwPGw8VGV4dDs+O2w8OTk5OTs+Pjs+Ozs+O3Q8cDxwPGw8VGV4d
Ds+O2w8THVjZXJuZSBQdWJsaXNoaW5nOz4+Oz47Oz47dDxwPHA8bDxUZXh0Oz47bDxQYXJp
czs+Pjs+Ozs+O3Q8cDxwPGw8VGV4dDs+O2w8Jm5ic3BcOzs+Pjs+Ozs+O3Q8cDxwPGw8VGV
4dDs+O2w8RnJhbmNlOz4+Oz47Oz47Pj47Pj47Pj47Pj47Pj47Pg==" />

看！只是禁用了该网格的 ViewState，同一页面的有效负载就大大减少了：

<HTML>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form name="_ctl0" method="post" action="lessviewstate.aspx" id="_ctl0">
<input type="hidden" name="__VIEWSTATE" value="dDwxNTgzOTU2ODA7Oz4=" />

下面是 Visual Basic 和 C# 的完整的 LessViewState 代码：

[Visual Basic]
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html><script runat="server">

Private Sub Page_Load(sender As Object, e As EventArgs)

Dim ds as New DataSet()
ds.ReadXml(Server.MapPath("TestData.xml"))

DataGrid1.DataSource = ds
DataGrid1.DataBind()

End Sub

</script>

[C#]
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Data" %>
<html>
<HEAD>
<title>减少页面的“HTML 有效负载”</title>
</HEAD>
<body>
<form runat="server">
<H3>
通过禁用 ViewState 来减少页面的“HTML 有效负载”
</H3>
<P>
<asp:datagrid id="DataGrid1" runat="server" EnableViewState="false"
BorderStyle="None" BorderWidth="1px" BorderColor="#CCCCCC"
BackColor="White" CellPadding="5">
<HeaderStyle Font-Bold="True" ForeColor="White" BackColor="#006699">
</HeaderStyle>
</asp:datagrid>
</P>
</form>
</body>
</html>
<script runat="server">

void Page_Load(object sender, EventArgs e) {

DataSet ds = new DataSet();
ds.ReadXml(Server.MapPath("TestData.xml"));

DataGrid1.DataSource = ds;
DataGrid1.DataBind();
}

</script>

禁用 ViewState
在上述示例中，我通过将网格的 EnableViewState 属性设置为 False 禁用了 ViewState。可以针对单个控件、整个页面或整个应用程序禁用 ViewState，如下所示：

每个控件（在标记上） <asp:datagrid EnableViewState="false" ?/>
每个页面（在指令中） <%@ Page EnableViewState="False" ?%>
每个应用程序（在 web.config 中） <Pages EnableViewState="false" ?/>

使 ViewState 更安全
由于 ViewState 没有被格式化为清晰的文本，某些人有时会认为它被加密了，其实并没有。相反，ViewState 只是进行了 Base64 编码，以确保值在往返过程中不会发生变化，而并不考虑应用程序使用的响应/请求编码。

可以向应用程序中添加两种 ViewState 安全级别：

防篡改
加密
需要注意的是，ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直接的影响。简单地说，安全性越高，速度越慢。因此如果不需要，请不要为 ViewState 添加安全性。

防篡改
尽管散列代码不能确保 ViewState 字段中实际数据的安全，但它能够显著降低有人通过 ViewState 骗过应用程序的可能性，即防止回传应用程序通常禁止用户输入的值。

可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追加一个散列代码：

<%@Page EnableViewStateMAC=true %>

可以在页面级别上设置 EnableViewStateMAC，也可以在应用程序级别上设置。在回传时，ASP.NET 将为 ViewState 数据生成一个散列代码，并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配，该 ViewState 数据将被丢弃，同时控件将恢复为原来的设置。

默认情况下，ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外，也可以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法，如下所示：

<machineKey validation="MD5" />

加密
可以使用加密来保护 ViewState 字段中的实际数据值。首先，必须如上所述设置 EnableViewStatMAC="true"。然后，将 machineKey validation 类型设置为 3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。

<machineKey validation="3DES" />

Web 领域中的 ViewState 安全性
默认情况下，ASP.NET 将创建一个随机的验证密钥，并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段，两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一，对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置，则需要为所有服务器提供一个唯一的、共享的验证密钥。

验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串，用 40 到 128 个十六进制字符表示。密钥越长越安全，因此建议使用 128 个字符的密钥（如果计算机支持）。例如：

<machineKey validation="SHA1" validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />

System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类，使用该类可以生成此字符串，如以下 GenerateCryptoKey.aspx 示例所示：

<%@ Page Language="c#" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<HTML>
<body>
<form runat="server">
<H3>生成随机加密密钥</H3>
<P>
<asp:RadioButtonList id="RadioButtonList1"
runat="server" RepeatDirection="Horizontal">
<asp:ListItem Value="40">40-byte</asp:ListItem>
<asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem>
</asp:RadioButtonList>
<asp:Button id="Button1" runat="server" οnclick="GenerateKey"
Text="生成密钥">
</asp:Button></P>
<P>
<asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine"
Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
复制并粘贴生成的结果</asp:TextBox></P>
</form>
</body>
</HTML>


<script runat=server>

void GenerateKey(object sender, System.EventArgs e)
{
int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value);

// 在此处放入用于初始化页面的用户代码
byte[] buff = new Byte[keylength/2];

RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();

// 该数组已使用密码增强的随机字节进行填充
rng.GetBytes(buff);

StringBuilder sb = new StringBuilder(keylength);
int i;
for (i = 0; i < buff.Length; i++) {
sb.Append(String.Format("{0:X2}",buff[i]));
}

// 粘贴到文本框，用户可从中复制
TextBox1.Text = sb.ToString();
}

</script>

总结
ASP.NET ViewState 是一种新的状态服务，可供开发人员基于每个用户来跟踪 UI 状态。ViewState 没有什么神秘之处，它只是利用了一个老的 Web 编程技巧：在一个隐藏的窗体字段中来回传递状态，并将它直接应用于页面处理框架中。但效果却非常好 - 在基于 Web 的窗体中只需编写并维护很少的代码。

用户可能并不总是需要它，但我想您在需要它的时候会发现，ViewState 是提供给页面开发人员的诸多 ASP.NET 新功能中非常令人满意的一种功能。