Web 领域中的 ViewState 安全性

默认情况下，ASP.NET 将创建一个随机的验证密钥，并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段，两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一，对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置，则需要为所有服务器提供一个唯一的、共享的验证密钥。

验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串，用 40 到 128 个十六进制字符表示。密钥越长越安全，因此建议使用 128 个字符的密钥（如果计算机支持）。例如：



System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类，使用该类可以生成此字符串，如以下 GenerateCryptoKey.aspx 示例所示：

<%...@ Page Language="c#" %>
<%...@ Import Namespace="System.Security.Cryptography" %>

   
       
       

生成随机加密密钥

                        runat="server" RepeatDirection="Horizontal">
                40-byte
                128-byte
             
                        Text="生成密钥">
           

                        Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False">
            复制并粘贴生成的结果