深入講解asp+ 驗證
anthony moore
microsoft corporation
2000年10月
摘要:有關使用asp+ 驗證web 控件的詳細講解。
目錄
簡介
入門
何時發生何事?
服務器端的驗證序列
客戶端的驗證
有效性規則和有用的錯誤信息
enabled、visible 和display 屬性的作用
customvalidator 控件
哪些控件可以被驗證?
到此為止
-------------------------------------------------- ------------------------------
簡介
這篇文章詳細講解了asp+ 驗證控件的工作方式。如果要生成其中包含驗證控件的複雜頁面,或是要擴展驗證框架,建議您閱讀本文。如果要學習使用驗證控件,或是要決定是否使用驗證控件,請參見“asp+ 中的用戶輸入驗證(英文)”。
入門
我們知道,在整個asp+ 開發過程中,了解驗證非常重要。看看如今的大多數商業web 站點,您會發現,這些站點中有許多表單,這些表單明顯是通過執行大量手寫的代碼來執行驗證。編寫驗證代碼並不是一件有趣的工作。如果要通過編寫代碼來顯示數據表或動態生成圖表,可能會很吸引人,但是沒有人可以向他的同事證實這種很“酷”的方法能夠禁止在姓名字段中輸入空值。
因為其它一些原因,web 應用程序的驗證也是非常麻煩的。 html 3.2 對您可以控制的內容或可以從用戶處得到的反饋的限制很多,因此無法應用在功能更全的客戶機上可以使用的技巧,例如禁止用戶輸入某些字符,或發出嘀聲。使用瀏覽器腳本可能會產生更強大的驗證。但是這種方法很難得以證實,因為客戶瀏覽器中並非一定有腳本,並且惡意的用戶可以繞過。因此,為了保證站點安全,有必要對服務器進行同樣的檢查。
在開發asp+ 時,我們的初衷是只使用一個控件來處理驗證,可能本該是一個能夠顯示錯誤的textbox 控件。可是到了設計該控件時,卻發現無法實現這種願望。我們研究了大量的數據輸入表單,試圖找到可以適用於盡可能多的表單的一種解決方案。我們發現,數據輸入表單具有許多有趣的特性:
儘管錯誤信息或圖標經常與輸入元素相鄰,但是它們幾乎總是位於表的不同單元格中。
頁面中經常會有一個區域來匯總所有錯誤。
許多站點包含客戶端腳本,以便提供更快捷的反饋,同時防止白白地在與服務器之間往返。
許多包含客戶端腳本的站點在出現錯誤時會顯示信息框。
不僅會驗證文本輸入,還會驗證下拉列表和單選按鈕。
如果某個字段為空,站點通常會顯示與該條目無效時不同的信息或圖標。
許多有效性檢查可以很好地代替常用的表達式。
驗證通常是基於兩個輸入之間的比較結果。
90% 或90% 以上的驗證任務是一些常見的操作,例如檢查姓名或郵政編碼。大多數站點似乎仍在重複進行這些工作。
因為站點之間的差別通常太大,無法獲得一種完美的解決方案來處理每個站點的所有驗證任務。
考慮了上述所有情況,最終獲得的解決方案包括五個驗證器控件、validationsummary 控件以及與page 對象的集成。同時很明顯,該解決方案需要擴展,在客戶機和服務器上均需要有一個api 來配合。
我們在研究進行的各種驗證時發現,我們似乎需要一個更大的工具箱。在大多數組件環境中,例如microsoft® activex®,我們可能本來試圖將所有驗證控件的功能集成到一個控件中,處理不同模式下的不同屬性。不過,幸好microsoft® .net 框架中有神奇的繼承性,可以提供一套控件來對特定的屬性進行特定的驗證,因為派生每個新控件所需的額外工作量非常小。
這些控件所完成的大多數工作均在其公用的父級basevalidator 中實現。您也可以從basevalidator 或其它控件派生來完成各項工作。實際上,即使basevalidator 都懶得實現其自己的text 屬性,而是從label 屬性繼承。
何時發生何事?
在處理包含驗證web 控件的頁面時,了解事件序列非常有效。如果某個驗證條件是可選的,您需要準確了解客戶機和服務器上何時進行驗證。如果要自己編寫驗證例程,可能會非常耗時,或者有副作用。同時,了解調用驗證例程的時機也很重要。
首先,讓我們看一下服務器。
服務器端的驗證序列
了解頁面的有效期非常重要。如果習慣於在visual basic 或類似功能齊全的客戶機工具中處理表單,則需要花一定的時間來了解。頁面和頁面上的所有對象並非在與用戶交互時一直有效,儘管有時表面上是這樣。
以下是在第一次訪問某個頁面時一個簡化的事件序列:
基於aspx 文件創建頁面及其控件。
觸發page_load 事件。
頁面和控件屬性保存在一個隱藏字段中。
頁面和控件轉換到html。
丟棄所有內容。
現在,當用戶單擊某個按鈕或類似控件時,將返回服務器,然後執行一個類似的事件序列。該序列稱為返回序列:
基於aspx 文件創建頁面及其控件。
從隱藏字段恢復頁面和控件屬性。
根據用戶輸入更新頁面控件。
觸發page_load 事件。
觸發更改通知事件。
頁面和控件屬性保存在一個隱藏字段中。
頁面和控件轉換到html。
再次丟棄所有內容。
我們為什麼不將所有對象保留在內存中呢?因為使用asp+ 建立的web 站點無法處理數量非常大的用戶。因此,服務器的內存中只保留馬上要處理的內容。
何時進行服務器端驗證?在第一次獲取頁面信息時,根本不會進行服務器端驗證。大多數最終用戶都非常認真,我們允許用戶自己確認在表單中填寫的信息是否正確,然後我們再使用紅色的文字通知用戶填錯的信息。
在返回事件序列中,第3 步和第4 步之間會進行驗證。也就是說,進行驗證是在來自用戶的數據裝回控件屬性後,但在大多數代碼執行之前。這意味著在編寫用戶事件代碼時,通常可以利用已經進行的驗證。一般情況下,您都會希望這樣做。
在該時刻進行驗證的缺點是:如果您要通過編程來修改某些影響該驗證的屬性,該時刻就太遲了。例如,您會發現,如果通過編寫代碼來啟用或禁用驗證控件或更改驗證控件的屬性,在下一次處理該頁之前,不會看到任何影響。通過以下兩種方法可以避免這個問題:
在進行驗證之前修改屬性。
在屬性更改之後重新驗證控件。
這兩種方法均需要使用在page 對像上有效的驗證屬性和方法。
頁面api
page 對象包含一些與服務器端驗證有關的重要屬性和方法。表1 中總結了這些屬性和方法:
表1. page 對象的屬性和方法
屬性或方法說明
isvalid 屬性這是最有用的屬性。該屬性可以檢查整個表單是否有效。通常在更新數據庫之前進行該檢查。只有validators 集中的所有對象全部有效,該屬性才為真,並且不將該值存入緩存。
validators 屬性該頁所有驗證對象的集合。這是實現ivalidator 界面的對象的集合。
validate 方法在驗證時調用的一種方法。在page 對像上默認的執行方式是轉至每個驗證器,並要求各驗證器自行評估。
validators 集合對於許多任務都非常有用。該集合是實現ivalidator 界面的對象的集合。我之所以使用對像這個詞,而不是使用控件,是因為page 對像只關注ivalidator 界面。既然所有的驗證器通常都是用來實現ivalidator 的一些可視化控件,那麼任何人都應能夠使用任意的驗證對象,並將驗證對象加入頁面中。
ivalidator 界麵包含以下屬性和方法:
表2. ivalidator 界面的屬性和方法
屬性或方法說明
isvalid 屬性指出單獨的驗證對象進行的有效性檢查是否已經通過。您可以在驗證後手工更改該值。
errormessage 屬性介紹驗證對像要驗證的錯誤以及可能會向用戶顯示的錯誤。
validate 方法對驗證對象執行有效性檢查,以更新其isvalid 值。
您可以使用該界面執行一些有趣的任務。例如,要將頁面重置為有效的狀態,請使用以下代碼(如c# 中的示例所示):
ivalidator val;
foreach(val in validators) {
val.isvalid = true;
}
要重新執行整個驗證序列,請使用以下代碼:
ivalidator val;
foreach(val in validators) {
val.validate();
}
如果有beta 1 版或更高版本,也可以只對page 對象調用validate 方法,這樣可以完成相同的任務。要在驗證前進行某些更改,可以覆蓋validate 方法。本例顯示一個包含驗證器的頁面,其中的驗證器根據複選框的值開或關:
public class conditional : page {
public htmlinputcheckbox chksameas;
public requiredfieldvalidator rfvalshipaddress;
protected override void validate() {
//只檢查到貨地址(如果與付款地址不同)
bool enableship = !chksameas.checked;
rfvalshipaddress.enabled = enableship;
//現在執行驗證
base.validate();
}
}
客戶端的驗證
如果您的頁面啟用了客戶端驗證,則在往返過程中會發生完全不同的事件序列。客戶端的驗證使用客戶端jscript® 實現。實現該驗證不需要任何二進制組件。
儘管jscript 語言的標準化做得很好,但是用於與瀏覽器中的html 文檔交互的文檔對像模型(document object model, dom) 沒有廣泛採用的標準。因此,客戶端的驗證只在internet explorer 4.0 和更高版本中進行,因為該驗證的對像是internet explorer dom。
從服務器的角度來說,客戶端的驗證只意味著驗證控件將不同的內容髮送到html 中。除此之外,其事件序列完全相同。服務器端的檢查仍然執行。儘管看起來似乎多餘,但是卻十分重要,因為:
某些驗證控件可能不支持客戶端腳本。有一個很好的例子:如果要同時使用customvalidator 和服務器驗證函數,但是沒有客戶機驗證函數。
安全性注意事項。某些人可以很容易得到一個包含腳本的頁面,然後禁用或更改該頁面。您不應利用腳本來阻止壞數據進入您的系統,而只應是為了用戶得到更快的反饋。因此,如果要使用customvalidator,則不應提供沒有相應服務器驗證函數的客戶機驗證函數。
每個驗證控件都可以確保將一個標準的客戶端腳本塊發送到頁面中。實際上,這只是一小部分代碼,其中包含對腳本庫webuivalidation.js 中的代碼的引用。這個腳本庫文件包含客戶端驗證的所有邏輯,該文件需單獨下載,並且可以存儲在瀏覽器的緩存中。
關於腳本庫
因為驗證web 控件腳本在腳本庫中,所以不必將所有客戶端驗證的代碼直接發送到頁面中,儘管表面上似乎是這樣做的。主要的腳本文件引用類似如下所示:
<script language=javascript
src=/_aspx/1.0.9999/script/webuivalidation.js></script>
默認情況下,腳本文件將安裝在_aspx 目錄中默認的根目錄下,並使用相對於根的腳本include 指令調用,該指令以正斜線開頭。該引用表明每個單獨的對像不必包含腳本庫,同一台計算機上的所有頁面可以引用同一個文件。您會注意到,該路徑中還有一個公用的語言運行時版本號,以便不同的運行時版本可以在同一台計算機上運行。
如果查看一下您默認的虛擬根目錄,您會找到該文件並查看其中的內容。這些文件的位置在config.web 文件中指定。 config.web 文件是一個用於大多數asp+ 設置的xml 文件。以下是該文件中位置的定義:
<webcontrols
clientscriptslocation=/_aspx/{0}/script/
/>
鼓勵您閱讀該腳本,以便深入了解發生的事件。不過,建議您不要修改這些腳本,因為它們的功能與特定的運行時版本緊密相連。在運行時版本更新時,這些腳本可能也需要相應的更新,您將或者放棄更改,或者面臨腳本不工作的問題。如果特定項目必須更改這些腳本,先備份這些腳本,然後將您的項目指向備份文件,方法是使用私有的config.web 文件替代這些文件的位置。如果字符串中包含格式指令{0},運行時版本號將替換該指令。最好將該位置更改為一個相對引用或絕對引用。
禁用客戶端的驗證
有時您可能不希望進行客戶端驗證。如果輸入字段的數目很少,客戶端驗證可能用處不大。您畢竟每次都要有一個需要往返服務器一次的邏輯。您會發現客戶機上動態出現的信息對您的佈局會有負面影響。
要禁用客戶端驗證,應使用page 指令clienttarget=downlevel。該指令類似以下aspx 文件的開頭:
<%@ page language=c# clienttarget=downlevel %>
該指令的默認值為auto,表示您只對microsoft internet explorer 4.0 或更高版本進行客戶端驗證。
注意:不幸的是,在beta 1 中,該指令並非僅僅是禁用驗證,同時還會使所有web 控件使用html 3.2 標記來處理,這可能會產生意想不到的結果。最終版本提供了更好的方法來控制這個問題。
客戶端事件序列
該序列是在運行包含客戶端驗證的頁面時發生的事件序列:
在頁面載入瀏覽器時,需要對每個驗證控件進行一些初始化。這些控件作為<span> 標記發送,其html 特性與服務器上的特性最接近。最重要的是,此時會將驗證器引用的所有輸入元素“掛接”。被引用的輸入元素將修改其客戶端事件,以便在每次輸入更改時調用驗證例程。
腳本庫中的代碼將在用戶使用tab 鍵在各字段之間切換時執行。某個獨立的字段更改時,將重新評估驗證條件,根據需要使驗證器可見或不可見。
當用戶嘗試提交表單時,將重新評估所有驗證器。如果這些驗證器全部有效,表單將提交給服務器。如果存在一處或多處錯誤,則會出現下述情況:
提交被取消。表單並不提交給服務器。
所有無效的驗證器均可見。
如果某個驗證摘要包含showsummary=true,則將收集來自驗證控件的所有錯誤,並使用這些錯誤更新其內容。
如果某個驗證摘要包含showmessagebox=true,則將收集錯誤,並在客戶機的信息框中顯示這些錯誤。
因為在每次輸入更改時或提交時會執行客戶端驗證控件,所以在客戶機上通常會評估這些驗證控件兩次或兩次以上。請注意,提交後,仍將會在服務器上對這些驗證控件進行重新評估。