申明:本文是学习2014版ASP.Net视频教程的学习笔记,仅供本人复习之用,也没有发布到博客园首页。
一、一般处理程序基础
(1)表单提交注意点:
①GET通过URL,POST通过报文体;
②需在HTML中为表单元素设置name;
③元素id是给Dom用的,name才是提交给服务器用的;
(2)请求处理响应模型:
①浏览器发出访问请求→②服务器处理访问请求并返回HTML→③浏览器解析HTML并显示页面
(3)GET与POST的区别:(★★★→重点)
①GET通过URL传值,而POST通过HTTP报文;
②GET传递的数据量有限,POST则没有限制;
③POST方式无法通过URL在其他用户中还原;
④GET方式URL传特殊字符需要事先进行编码;
(4)HTTP协议基本理解:
①连接(Connection):HTTP不保持连接(请求完成就关闭),如果保持连接会降低客户端并发处理请求数,不保持连接会降低处理速度(建立连接速度很慢);
②请求(Request):包含请求类型、请求的数据以及客户端信息等;
③响应(Response):包含具体HTML、响应是否成功以及错误码等;
二、模板引擎开发基础
(1)传统模式的缺点:
①没有实现界面和逻辑的分离,美工无法介入;
②占位符替换不够灵活,无法进行复杂的替换;
(2)NVelocity模板引擎:
①基本用法:编写模板→提供数据→渲染生成HTML
②扩展用法:include与parse的区别?
→#include("head.htm")代表模板嵌套子模板;#parse("foot.htm")代表模板嵌套子模板,子模板可继承父模板中的参数;
③注意之处:
NVelocity解析JQuery代码$.ajax中的$时把$当做NVelocity中的特殊符号,应对方法是使用jQuery.ajax代替$.ajax;
如果要将DataTable传递给NVelocity时仅传递DataTable.Rows即可,因为Rows才是一个Collection(集合),可以使用foreach遍历;
为了减少每次NVelocity解析模板的时间建议启用NVelocity缓存;
三、状态的传递与保持
(1)经典的URL传递:
①优点:简单直接,明确发给谁,数据不会乱;
②缺点:无法保密,安全性不高
(2)隐藏字段传递:
①会加大网站流量;
②会降低访问速度,想想ViewState;
③机密数据无法保证安全性;
(3)Cookie:(★★★★→重点)
①基本概念:保存在浏览器端,每次向服务器提交请求时都会带上Cookie;服务器返回报文除了Html外还有更新后的Cookie;
②生命周期:如果没有设定Expires过期时间,那么关闭浏览器则终止Cookie;如果设定了Expires过期时间,则以过期时间为准作为失效时间;
③缺点限制:存储数据量有限,机密信息不能存在Cookie中;无法跨越不同的浏览器,例如:IE、Chorme、Firefox等;可以被清除,不要将不能丢失的数据存到Cookie;
(4)Session:(★★★★→重点)
①基本概念:服务器端的“Cookie”,类似于病历本;
②生命周期:Session具有自动销毁机制;
③使用注意:HttpHandler要使用Session需实现IRequiresSessionState接口;存放在服务器内存中,不要存放大数据;
④与Cookie的关系:Session在创建时会依赖于Cookie,实质是Cookie存储一个SessionID作为每次提交服务器请求访问的Key,Session通过这个Key找到具体的Value值;
(5)Application:
①基本概念:应用全局对象,被全局共享;使用操作之前先加Lock,完成之后UnLock;一般放在Global.asax中的Application_Start事件中;
②使用注意:很多书举例使用Application统计访问人数会导致网站在大并发量下会很十分卡;建议做网站开发尽量不用Application,也很少需要有用到它的时候;
PS:很多书中都会这样使用Application,是不是很眼熟?在使用前加Lock,完成之后UnLock虽然是一个比较好的同步操作,但是也正因为如此,加Lock会造成在大并发量的访问情况下网站系统出现卡顿的现象。
View Code1 void Application_Start(object sender, EventArgs e) 2 { 3 // 在应用程序启动时运行的代码 4 Application["count"] = 0;//初始设置计数从0开始 5 } 6 7 void Session_Start(object sender, EventArgs e) 8 { 9 // 在新会话启动时运行的代码 10 Application.Lock();//同步,避免同时写入 11 Application["count"]=(int)Application["count"]+1;//每建立一个会话该全局变量加1 12 Application.UnLock();//同步结束 13 }
四、AJAX基础
(1)AJAX产生原因:
①传统全局刷新导致用户体验不好; ②IE5中首次引入了XMLHttpRequest;
(2)AJAX基本概念:
①AJAX全称:AsynchronousJavascriptAndXML=异步的JavaScript和XML,一种进行页面局部刷新的技术;
②AJAX通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新,从而改善用户体验效果;
(3)AJAX基本流程:
①浏览器HTML中使用JavaScript创建XMLHttpRequest → ②服务器端获取请求进行处理并返回符合AJAX风格的数据(例如Json) → ③浏览器JavaScript解析服务器返回的数据并局部显示或更改信息
(4)AJAX核心对象:JavaScript对象XMLHttpRequest
XmlHttpRequest使我们可以使用JavaScript向服务器提出请求并处理响应,而不阻塞用户。
PS:下面是一段经典的纯手工使用js对象XMLHttpRequest的实例:
View Codefunction ajax(url, onsuccess) { var xmlhttp = window.XMLHttpRequest ? new XMLHttpRequest() : new ActiveXObject('Microsoft.XMLHTTP'); //创建XMLHTTP对象,考虑兼容性。XHR xmlhttp.open("POST", url, true); //“准备”向服务器的GetDate1.ashx发出Post请求(GET可能会有缓存问题)。这里还没有发出请求 //AJAX是异步的,并不是等到服务器端返回才继续执行 xmlhttp.onreadystatechange = function () { if (xmlhttp.readyState == 4) //readyState == 4 表示服务器返回完成数据了。之前可能会经历2(请求已发送,正在处理中)、3(响应中已有部分数据可用了,但是服务器还没有完成响应的生成) { if (xmlhttp.status == 200) //如果Http状态码为200则是成功 { onsuccess(xmlhttp.responseText); } else { alert("AJAX服务器返回错误!"); } } } //不要以为if (xmlhttp.readyState == 4) {在send之前执行!!!! xmlhttp.send(); //这时才开始发送请求。并不等于服务器端返回。请求发出去了,我不等!去监听onreadystatechange吧! }
(5)AJAX优点缺点:
①优点:页面无刷新,在页面内与服务器通信,给用户的体验非常好;“按需取数据”,可以最大程度的减少冗余请求和响应对服务器造成的负担;基于XML标准化,并被浏览器广泛支持,不需安装插件等;
②缺点:由于AJAX只是局部刷新,所以页面的后退按钮是没有用的(破坏了后退按钮机制);对流媒体还有移动设备的支持不是太好;
五、客户端不可信
(1)客户端验证不能代替服务端验证:
①客户端校验是为了更好的客户端体验,服务端校验是最后一次把关,防止恶意请求;
②请求报文数据可以修改,例如Http报文中的UserAgent、Referer、Cookie等都是可以造假的;
③JQuery Validator+服务端校验是不错的开发方式;
(2)ValidateRequest:
①ASP.Net默认对请求数据进行了校验->防止XSS攻击(跨站脚本攻击)
②对于要提交含HTML的文本内容需要关闭校验,在web.config中设置requestValidationMode="2.0"
<system.web> <compilation debug="true" targetFramework="4.0" /> <httpRuntime requestValidationMode="2.0" /> </system.web>
利用关闭校验的漏洞可以进行:送奖品的消息框、收集账号和密码;
(3)CKEditor:经典的Web在线编辑器
①除了_samples、_source、*.php、*.asp都放到js/ckeditor文件夹下;
②页面中引用ckeditor.js;
③页面编辑器的位置使用textarea,在页面onload中或textarea之后使用CKEDITOR.replace(textarea);