最近购买了一个NET2.0的虚拟主机,开开心心的把刚做好的网站传了上去,运行后却出了一个令人十分头痛的问题,cookies莫名其妙的提前过期,部分页面不定时的出现MAC验证失败,可是程序在本地运行一切正常啊,于是怀疑服务器设置有问题,在与虚拟主机提供商几次电话之后(都快吵起来了)他们决定给我重新更换一台服务器,换完之后,上传程序,问题依旧,与此同时我也可以确定,我的程序绝对是没有问题的,后来上网一搜,有很多讲MAC验证视图状态失败的解决方法都是在页里或web.config里加 EnableEventValidation="false" EnableViewStateMac="false" ViewStateEncryptionMode="Never" 这些个设置以避免错误出现,我也尝试了一下,并不能从根本上解决我遇到的问题。
就在我快要绝望的时候无意间发现了一个网页里讲他的Blog系统从NET1.1升级到NET2后之前所生成的所有cookies将会失效,因为NET2和NET1使用的machineKey不相同,真是柳暗花明又一村啊,顺着这个线索我又查阅了很多关于 machineKey的资料,其中有一篇文章讲的非常好:
----------------------------------------------------------------------------------
验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。
Asp.Net应用程序中为什么要MachineKey?如何生成MachineKey?2007年01月24 日 星期三 15:03如果你的Asp.Net程序执行时碰到这种错误:“验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。”那么说明你没有让你的应用程序使用统一的machineKey,那么machineKey的作用是什么呢?按照MSDN的标准说法:“对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证。”也就是说Asp.Net的很多加密,都是依赖于machineKey里面的值,例如Forms 身份验证 Cookie、ViewState的加密。默认情况下,Asp.Net的配置是自己动态生成,如果单台服务器当然没问题,但是如果多台服务器负载均衡,machineKey还采用动态生成的方式,每台服务器上的machinekey值不一致,就导致加密出来的结果也不一致,不能共享验证和 ViewState,所以对于多台服务器负载均衡的情况,一定要在每台站点配置相同的machineKey。
------------------------------------------------------------------------------------
查下MSDN就明白了,validationKey和decryptionKey的默认值是AutoGenerate,由系统随机生成密钥,如果在本地或者使用的是独立主机通常不会有什么问题,但是使用虚拟主机,一台服务器上有多个虚拟主机存在时就会出现以上问题,MSDN中也特别指出不能在群集中使用 AutoGenerate应该指定固定的密钥值,至此真相水落石出,立刻在web.config中添加关于machineKey的配置项,并手动设置其中的密钥值,这里请注意,不同加密算法对于密钥的最大字符长度是不同的,在这里能够使用的有AES,DES,3DES,SHA1,MD5,我只知道DES的密钥字符长度为16,3DES长度为48,手动设置时密钥长度必须等于其最大长度,否则会出错!至于密钥的16进制值可以随便输入。
参考的matchineKey配置:
<system.web>
<machineKey validation="3DES" validationKey="319B474B1D2B7A87C996B280450BB36506A95AEDF9B51211" decryptionKey="280450BB36319B474C996B506A95AEDF9B51211B1D2B7A87" decryption="3DES"/>
</system.web>
分享到:
相关推荐
Cookies用法,cookies模拟登录,forms验证
失忆cookies状态提取软件是一款非常实用的QQ空间cookies提取软件,对接UU云打码平台。
IE COOKIES查看工具及说明教程 里面有英文教程,简单好用
分析cookies行为1文献2心得3有关信息安全的想法4问题跟解决方案5就业
vb删除IE缓存及cookies源码 vb删除IE缓存及cookies源码
POST应用之COOKIES管理(可应用于多线程及多COOKIES管理)
cookies_guidance,cookie安全验证
包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限..等等资料。 你是否常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯! 使用软件来看看这些Cookies的...
查找关于COOKIES入侵的方法及工具.pdf
给出一款IECookies查看器工具,可以查看IE浏览器的Cookies。
IE Cookies查看工具 IE Cookies查看工具 IE Cookies查看工具
部分cookies
jQuery的Cookie插件 cookies cookies 是一个强大的 jQuery 用来操作 Cookie 的插件。除了常见的操作 $.cookies.set( 'sessid', 'dh3tr62fghe' ); var sessid = $.cookies.get( 'sessid' ); $.cookies.del( 'sessid...
以前在学习Asp.net 时备受困扰的就是提交验证这块,网上流行的关于图片验证的教程大都存在很多问题,比如: 验证码存储在页面代码或Cookies 里,暴露给客户端; 通过Session 存储的验证码,虽然解决了安全问题,但...
删除cookies.ec删除cookies.ec
讲解前端cookies的使用,和注意点,特点是在cookies的安全方便,对安全性能要求比较高的web程序中,推荐观看
http cookies 几个有关cookies的网页
Cookie进行登录验证dome 简单易懂 新手一看就会
最新2个火狐的插件,用来将3.0的cookies.sqlite转换成cookies.txt,从而在CYGWIN的wget测试工具中使用。
针对其在具体的信息安全领域内的应用,分析并实现对其相关的业务流程、布置方案、客户端、端口控制模块及服务器的设计,提出实现认证系统客户端软件、认证系统端口控制模块及认证服务器等的具体方案,最后对系统完成...