5/11/12

Bảo mật & tăng tốc website ASP.NET,C# - Phần 1: VIEWSTATE


Các vấn đề chúng ta sẽ cùng nhau bàn luận và đưa ra các giải pháp:
+ SQL Injection
+ ViewState? Bạn đã biết gì về nó ?
+ web.config: trung tâm lưu trữu các thông tin cấu hình ?
+ MachineKey: dùng để làm gì ?
+ Tối ưu website ? 
+ Tối ưu WEBSERVER (IIS) ?
+ Các lỗi thường gặp phải khi publich website ?
Những cái này có thì khi chúng ta học có thể có nghe nói, hoặc chưa bao giờ nghe đến, nhưng nếu muốn làm một website cho công ty vào publich lên mạng thì nó gấn như là phần quan trọng nhất.


ViewState là gì ?
ViewState là một kĩ thuật giúp bạn để giữ lại trạng thái của trang mặc dù trang được Postbacks.Thường thì khi một trang được postback thì mọi giá trị trên trang sẽ không được giữ lại. Để giữ lại giá trị trên trang thì bạn phải sử dụng ViewState để lưu lại giá trị đó. Các giá trị lưu trong ViewState sẽ được lần lượt lưu trữ và gửi tới client browser theo giá trị của một hidden form input. Khi bạn xem source (Trên trình duyệt của mình) của một trang sử dụng ViewState, bạn sẽ thấy hidden viewstate input được khai báo có dạng như sau:
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKMTM1ODM3Nj......." /> 
Trường hidden sẽ chứa các giá trị viewstate cho tất cả các controls trên trang. Đây là một phần quan trọng của viewstate mà bạn cần nắm vững.
ViewState theo mặc định là sẽ được gửi tới client browser sau đó sẽ trở lại server trên form của một hidden input control trên trang của bạn, Việc lưu trữ một lượng lớn dữ liệu trong viewsate có thể làm tăng kích cỡ trang web của bạn, và có thể có ảnh hưởng đến việc thực thi nó nữa.
Để Disable ViewState cho một control, bạn chỉ cần thiết lập thuộc tính EnableViewState là false. Khi ViewState được diasbled cho một control, nó sẽ tự động disabled cho các controls khác là con của control này.
Ví dụ:
<asp:Label ID="lblRequestCount" runat="server" EnableViewState="false"></asp:Label>
Điều này không có nghĩa là bạn nên tránh sử dụng viewstate mà để bạn có thể kiểm soát dữ liệu được lưu và sự ảnh hưởng của nó tới toàn trang.
ViewState có ưu điểm và cũng có nhược điểm. Nhưng bạn hoàn toàn có thể kiểm soát được nó.

Tìm hiểu hoạt động của ViewState ?
Hầu như tất cả các công cụ trong ASP.NET điều có sử dụng ViewState và thường ở chế độ mặc định là Enable. Chúng ta có thể tắt nó ở các Control không cần thiết (như các Control chỉ hiển thị không truyền tham số) việc này làm nhẹ website rất nhiều.

Nhưng nếu các Control bắt buộc phải bật ViewState như TextBox thì sao ?
Chúng ta sẽ tìm hiểu và phân tích sâu một xíu:

Các ViewState từ phía clien (ví dụ một Textbox) truyền dữ liệu lên Server, ViewState được lưu trữ trong lĩnh vực ẩn với ID tên là __VIEWSTATE. Thông thường, các thông tin được lưu trữ ViewState trông như dưới đây:

Chúng ta nhìn chuỗi giá trị, hình như nó được mã hóa, thật sự là chuỗi mã hóa Base64 và nó nhưng không phải là một chuỗi mã hóa. Vì vậy, nó có thể dễ dàng giải mã.
Những lý do chính để làm cho nó mã hóa Base64 như sau:

1. Base64 làm cho một chuỗi phù hợp với HTTP chuyển
2. Nó làm cho chúng ta một chút khó khăn hơn để đọc.
và người ta thường bị lẫn lộn rằng đây là một chuỗi mã hóa.

Để giải mã chuỗi bằng cách sử dụng ViewState Decoder (A nice tool created by Fritz Onion).

Bạn có thể viết vài dòng mã để giải mã các văn bản và bạn sẽ nhận được thông tin chính xác

Đó là cách làm việc của một ViewState, Theo mặc định, ViewState là chuỗi tuần tự vào một cơ sở mã hoá Base64. Nên việc bị chặn dữ liệu và đọc chúng là việc khá đơn giản.

MÃ HÓA ViewState
Chúng ta có 2 kiểu mã hóa là :
1. Mã hóa ViewState theo từng trang, trang nào thấy nhạy cảm thì mã hóa không thì thôi:
Cách làm: Ở phần khai báo trang chúng ta thêm những dòng sau:
EnableViewStateMAC=true và ViewStateEncryptionMode=”Always”
Ví dụ:
<%@ Page Title="" Language="C#" MasterPageFile="~/skin_3_cot.master" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default"  
EnableViewStateMAC=true ViewStateEncryptionMode=”Always” 
%>  

2. Cấu hình cho toàn bộ site chúng ta cấu hình 2 dòng trên trong file web.config

Mô hình hoạt động sau khi mở chế độ mã hóa

Và kế quả chúng ta có được

ViewStateEncryptionMode có 3 chế độ:
Always: Luôn luôn bật cho toàn site
Auto: Tùy thuộc vào cấu hình của từng trang
Never: không bao giờ mã hóa
______________________________
KẾT LUẬN:
+ Chỉ với vài dòng cấu hình đơn giản nhưng website của chúng ta cũng đã an toàn hơn nhiều so với việc để mặc định.
+ Việc nắm vững sự điều khiển ViewState của các Control trong ASP.NET giúp website bạn hoạt động nhanh chống và hiệu quả hơn. 
+ Chúng ta nên tắt bớt các ViewState của các Control không cần thiết để site có thể load nhanh hơn.

Hoàn tất phần hướng dẫn về ViewState, bài viết được tổng hợp từ nhiều nguồn khác nhau.
Phần sau chúng ta sẽ tìm hiểu kỹ hơn về web.config
Bookmark and Share

0 comments:

Post a Comment

Next previous home

Cộng đồng yêu thiết kế Việt Nam Thiet ke website, danang