asp.net – 为什么隐藏字段被认为是客户端状态管理？

因此,它不比viewstate“更”安全,因为它使用viewstate来维护数据.

关于隐藏字段,有四种：首先是常规HTML,它只是一个隐藏类型的输入.虽然它在html中,但它没有可见的渲染.它也没有viewstate属性.它被声明为：

<input id="MyId" type='hidden' value='whatever' />

第二个是带有css属性的常规输入,将其标记为隐藏：如果CSS被禁用或以其他方式覆盖,则控件将对用户可见.除此之外,它非常接近与type =’hidden’相同的东西.

<input id='MyId' type='text' value='whatever' style='visibility:hidden' />

第三个是.Net隐藏字段.这确实具有viewstate存储,但它也会导致在html中生成常规隐藏字段.

<asp:HiddenField id='MyId' runat='server' value='whatever' />

并且,第四个是标记为不可见的常规.net文本框.

<asp:TextBox id='MyId' runat='server' Text='whatever' Visible='False' />

.net将导致数据被放置在viewstate中. HTML没有.如果在.Net控件上设置Visible = False,则它不会呈现给客户端,但是它的数据通常存储在viewstate中.

还有其他方法可以将数据抛入页面,但它们是上述的推导.

一般来说,如果你有一个你的javascript代码需要的值,但你不需要将它显示给客户端,那么你使用隐藏字段(html或.net).如果你有一个秘密值,那么通常你不希望这种情况发生在客户端.这意味着甚至将其排除在视野之外.作为旁注,不要依赖于viewstate“security”,那里有工具可以很容易地解密它.