申明：本文是学习2014版ASP.Net视频教程的学习笔记，仅供本人复习之用，也没有发布到博客园首页。

一、一般处理程序基础

　　（1）表单提交注意点：

　　　　①GET通过URL，POST通过报文体；

　　　　②需在HTML中为表单元素设置name；

　　　　③元素id是给Dom用的，name才是提交给服务器用的；

　　（2）请求处理响应模型：

　　　　①浏览器发出访问请求→②服务器处理访问请求并返回HTML→③浏览器解析HTML并显示页面

　　（3）GET与POST的区别：（★★★→重点）

　　　　①GET通过URL传值，而POST通过HTTP报文；

　　　　②GET传递的数据量有限，POST则没有限制；

　　　　③POST方式无法通过URL在其他用户中还原；

　　　　④GET方式URL传特殊字符需要事先进行编码；

　　（4）HTTP协议基本理解：

　　　　①连接（Connection）：HTTP不保持连接（请求完成就关闭），如果保持连接会降低客户端并发处理请求数，不保持连接会降低处理速度（建立连接速度很慢）；

　　　　②请求（Request）：包含请求类型、请求的数据以及客户端信息等；

　　　　③响应（Response）：包含具体HTML、响应是否成功以及错误码等；

二、模板引擎开发基础

　　（1）传统模式的缺点：

　　　　①没有实现界面和逻辑的分离，美工无法介入；

　　　　②占位符替换不够灵活，无法进行复杂的替换；

　　（2）NVelocity模板引擎：

　　　　①基本用法：编写模板→提供数据→渲染生成HTML

　　　　②扩展用法：include与parse的区别？

　　　　　　→#include(“head.htm”)代表模板嵌套子模板；#parse(“foot.htm”)代表模板嵌套子模板，子模板可继承父模板中的参数；

　　　　③注意之处：

　　　　　　NVelocity解析JQuery代码$.ajax中的$时把$当做NVelocity中的特殊符号，应对方法是使用jQuery.ajax代替$.ajax；

　　　　　　如果要将DataTable传递给NVelocity时仅传递DataTable.Rows即可，因为Rows才是一个Collection（集合），可以使用foreach遍历；

　　　　　　为了减少每次NVelocity解析模板的时间建议启用NVelocity缓存；

三、状态的传递与保持

　　（1）经典的URL传递：

　　　　①优点：简单直接，明确发给谁，数据不会乱；

　　　　 ②缺点：无法保密，安全性不高

　　（2）隐藏字段传递：

　　　　①会加大网站流量；

　　　　 ②会降低访问速度，想想ViewState；

　　　　 ③机密数据无法保证安全性；

　　（3）Cookie：（★★★★→重点）

　　　　①基本概念：保存在浏览器端，每次向服务器提交请求时都会带上Cookie；服务器返回报文除了Html外还有更新后的Cookie；

　　　　 ②生命周期：如果没有设定Expires过期时间，那么关闭浏览器则终止Cookie；如果设定了Expires过期时间，则以过期时间为准作为失效时间；

　　　　 ③缺点限制：存储数据量有限，机密信息不能存在Cookie中；无法跨越不同的浏览器，例如：IE、Chorme、Firefox等；可以被清除，不要将不能丢失的数据存到Cookie；

　　（4）Session：（★★★★→重点）

　　　　 ①基本概念：服务器端的“Cookie”，类似于病历本；

　　　　 ②生命周期：Session具有自动销毁机制；

　　　　 ③使用注意：HttpHandler要使用Session需实现IRequiresSessionState接口；存放在服务器内存中，不要存放大数据；

　　　　④与Cookie的关系：Session在创建时会依赖于Cookie，实质是Cookie存储一个SessionID作为每次提交服务器请求访问的Key，Session通过这个Key找到具体的Value值；

　　（5）Application：

　　　　①基本概念：应用全局对象，被全局共享；使用操作之前先加Lock，完成之后UnLock；一般放在Global.asax中的Application_Start事件中；

　　　　 ②使用注意：很多书举例使用Application统计访问人数会导致网站在大并发量下会很十分卡；建议做网站开发尽量不用Application，也很少需要有用到它的时候；

PS：很多书中都会这样使用Application，是不是很眼熟？在使用前加Lock，完成之后UnLock虽然是一个比较好的同步操作，但是也正因为如此，加Lock会造成在大并发量的访问情况下网站系统出现卡顿的现象。

 1     void Application_Start(object sender, EventArgs e)    2     {   3         // 在应用程序启动时运行的代码    4         Application["count"] = 0;//初始设置计数从0开始    5     } 6  7     void Session_Start(object sender, EventArgs e)    8     {   9         // 在新会话启动时运行的代码   10         Application.Lock();//同步,避免同时写入   11         Application["count"]=(int)Application["count"]+1;//每建立一个会话该全局变量加1   12         Application.UnLock();//同步结束   13     }

View Code

四、AJAX基础

　　（1）AJAX产生原因：

　　　　①传统全局刷新导致用户体验不好；　　②IE5中首次引入了XMLHttpRequest；

　　（2）AJAX基本概念：

　　　　①AJAX全称：AsynchronousJavascriptAndXML=异步的JavaScript和XML，一种进行页面局部刷新的技术；

　　　　 ②AJAX通过在后台与服务器进行少量数据交换，AJAX可以使网页实现异步更新，从而改善用户体验效果；

　　（3）AJAX基本流程：

　　　　①浏览器HTML中使用JavaScript创建XMLHttpRequest → ②服务器端获取请求进行处理并返回符合AJAX风格的数据（例如Json） → ③浏览器JavaScript解析服务器返回的数据并局部显示或更改信息

　　（4）AJAX核心对象：JavaScript对象XMLHttpRequest

　　　　XmlHttpRequest使我们可以使用JavaScript向服务器提出请求并处理响应，而不阻塞用户。

PS：下面是一段经典的纯手工使用js对象XMLHttpRequest的实例：

function ajax(url, onsuccess){    var xmlhttp = window.XMLHttpRequest ? new XMLHttpRequest() : new ActiveXObject('Microsoft.XMLHTTP'); //创建XMLHTTP对象，考虑兼容性。XHR    xmlhttp.open("POST", url, true); //“准备”向服务器的GetDate1.ashx发出Post请求（GET可能会有缓存问题）。这里还没有发出请求    //AJAX是异步的，并不是等到服务器端返回才继续执行    xmlhttp.onreadystatechange = function ()    {        if (xmlhttp.readyState == 4) //readyState == 4 表示服务器返回完成数据了。之前可能会经历2（请求已发送，正在处理中）、3（响应中已有部分数据可用了，但是服务器还没有完成响应的生成）        {            if (xmlhttp.status == 200) //如果Http状态码为200则是成功            {                onsuccess(xmlhttp.responseText);            }            else            {                alert("AJAX服务器返回错误！");            }        }    }    //不要以为if (xmlhttp.readyState == 4) {在send之前执行！！！！    xmlhttp.send(); //这时才开始发送请求。并不等于服务器端返回。请求发出去了，我不等！去监听onreadystatechange吧！}

View Code

　　（5）AJAX优点缺点：

 　　　　①优点：页面无刷新，在页面内与服务器通信，给用户的体验非常好；“按需取数据”，可以最大程度的减少冗余请求和响应对服务器造成的负担；基于XML标准化，并被浏览器广泛支持,不需安装插件等；

　　　　 ②缺点：由于AJAX只是局部刷新，所以页面的后退按钮是没有用的（破坏了后退按钮机制）；对流媒体还有移动设备的支持不是太好；

五、客户端不可信

　　（1）客户端验证不能代替服务端验证：

　　　　①客户端校验是为了更好的客户端体验，服务端校验是最后一次把关，防止恶意请求；

　　　　②请求报文数据可以修改，例如Http报文中的UserAgent、Referer、Cookie等都是可以造假的；

　　　　③JQuery Validator+服务端校验是不错的开发方式；

　　（2）ValidateRequest：

　　　　①ASP.Net默认对请求数据进行了校验->防止XSS攻击（跨站脚本攻击）

　　　　 ②对于要提交含HTML的文本内容需要关闭校验，在web.config中设置requestValidationMode=”2.0″

    <system.web>        <compilation debug="true" targetFramework="4.0" />        <httpRuntime requestValidationMode="2.0" />    </system.web>

View Code

　　　　利用关闭校验的漏洞可以进行：送奖品的消息框、收集账号和密码；

　　（3）CKEditor：经典的Web在线编辑器

　　　　①除了_samples、_source、*.php、*.asp都放到js/ckeditor文件夹下；

　　　　 ②页面中引用ckeditor.js；

　　　　 ③页面编辑器的位置使用textarea，在页面onload中或textarea之后使用CKEDITOR.replace(textarea)；

总结思维导图