EnableEventValidation错误原因分析以及解决办法
时间:2011-05-11 来源:爱军
回发或回调参数无效。在配置中使用 <pages enableEventValidation="true"/> 或在页面中使用 <%@ Page EnableEventValidation="true" %> 启用了事件验证
回发或回调参数无效。在配置中使用 <pages enableEventValidation="true"/> 或在页面中使用 <%@ Page EnableEventValidation="true" %> 启用了事件验证。出于安全目的,此功能验证回发或回调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
相信这个错误许多人都遇到过,那这个错误是什么意思? 它是怎么来的? 又该如何解决呢?
我们先看提示在配置中使用 <pages enableEventValidation="true"/> 或在页面中使用 <%@ Page EnableEventValidation="true" %> 启用了事件验证 这句话说我们设置了 enableEventValidation 属性,设置的值为 true ,也就是启用了事件验证,那是不是也可以禁用该事件呢?将enableEventValidation 属性设置为 false 后再运行程序,会发现错误没有了,那是不是问题就解决了呢? 可能有的人设置false后问题解决了,可能有的人设置false之后,该问题解决了却引发了连带问题。事件验证 又是怎么一回事呢?
以下是MSDN的说明:
此事件验证机制可降低未经授权的回发请求和回调带来的风险。当EnableEventValidation 属性设置为 true 时,ASP.NET 仅允许在回发请求或回调期间可由控件引发的事件。
通过此模型,控件可在呈现期间注册其事件,然后在回发或回调期间验证这些事件。默认情况下,ASP.NET 中的所有事件驱动控件均使用此功能。
强烈建议不要禁用事件验证。如果确实需要禁用事件验证,请确保不会构造出对应用程序产生意料之外影响的回发。
在大多数情况下,请通过在 Web.config 文件中设置 @ Page 指令的 enabledEventValidation 属性 (Attribute) 或页元素的 enableEventValidation 属性 (Attribute) 来设置 EnableEventValidation 属性 (Property)。如果在代码中设置 EnableEventValidation 属性,则在页处理的 Page_Init 阶段进行设置。
原来事件验证机制是在ASP.NET 2.0里新增的,这个设计的目的是为了防止恶意用户利用post 方法发送一些恶意数据。这就是事件验证机制的由来。
同时我们也看到了强烈建议不要禁用事件验证,也就是刚才的做法是不正确的。那该如何解决呢?继续看错误提示
如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
那怎么算数据是有效并且是预期的呢? ClientScriptManager.RegisterForEventValidation 这个方法又是怎么回事呢?
说到这里,我们要先断一下,先看一下会在什么情形下引发 回发或回调参数无效 (Invalid postback or callback argument.) 这个错误。
网上许多文章将这个错误归结为以下几种情况:
一 是 Form嵌套,一个页面只能有一个Form,仔细检查代码就可以解决。
二 是 在下拉菜单中使用ajax,常见于省市联动菜单,可能是由于在aspx页面赋给了下拉菜单初始Item值,在事件回发时提示该错误,将下拉菜单初始Item值删除,在绑定事件中添加Item项。
三 是 if (!Page.IsPostBack)
四 是 DropDownList 控件的ListItem 的Value 属性 包含汉字.只要将Value 改为英文或数字的就行了。
那实际情况是否是这样的呢?我们来分别看一下每种情况
第一种Form嵌套,首先一个页面是可以有多个Form的,但是只能有一个Form 被标记为 runat="server"
并且多个Form不可以嵌套。 那Form 嵌套会不会引起本文这个错误呢?我试了几次都没有出现本文的错误。
但如果Form 没加载完毕的时候提交Form则会出现本文的错误,不过这与Form 嵌套无关。
第二种下拉菜单,ajax应用中包含下拉列表框(DropDownList)是出现这个错误频率最高的Case了,那为什么会这样呢?是否像网上所说的那样呢?实则不然,先让我们看下ajax应用中的下拉列表框做了那些事,常见的是省市联动的ajax应用,市的下拉列表框在页面加载后是没有内容的,是根据用户选择的省 异步向服务器请求然后将响应解析之后加载到市的下拉列表框中,然后提交。当提交的时候本文的错误就出现了,那提交的时候做了什么事出现了这个错误呢?原来在页面呈现的时候,DropDownList 的 render 事件,会遍历 DropDownList 每一项的Value 属性,与 DropDownList 的UniqueID 属性 hash 之后做 XOR 并将结果保存到页面中。保存在 id 为 __EVENTVALIDATION 的 hidden中,它看起来可能是这样的 <input type="hidden" value="/wEWBQKGg9abDQKd9sHMBgKc9s........" /> 当我们选择省市的DropDownList 并提交时,在 DropDownList 的 LoadPostData 事件中会验证提交的内容与 id 为 __EVENTVALIDATION 的 hidden 的Value ,因为之前市的DropDownList 并没有项,可是提交的时候 我们给它加了若干项而事件验证机制不知道,它会判断出提交的数据不是预期的是未经授权的、是无效的,也就会报出本文的错误了。那如何解决也就明确了,只要我们告诉事件验证机制那些数据是有效的问题也就迎刃而解了
解决办法:ajax异步下拉列表框(DropDownList)
第一步:
<%@ Page EnableEventValidation="false" %>
第二步:
protected void Page_Load(object sender, EventArgs e)
{
if (!Page.IsPostBack)
{
//绑定数据;
}
}
第三步:获取值
if (Request["ddlTemplate"] != null)
{
int.TryParse(Request["ddlTemplate"].ToString(), out tempId);
}
页面控件:通过ajax获取数据,操作DOM将数据放到控件内(这里不详细说了,大家都会jquery)
<asp:DropDownList ID="ddlTemplate" runat="server" Enabled="false">
<asp:ListItem Value="0">-----全部-----</asp:ListItem>
</asp:DropDownList>