webConfig说明文档.docx

Configuration:指定公共语言运行库和.NET Framework应用程序所使用的每个配置文件中均需要的根元素System.Web:指定配置文件中ASP.NET配置设置的根元素。并且包含各种元素，这些元素配置在ASP.NET Web应用程序的行为方式一、 Configuration元素1) configSections:指定配置节和命名空间声明子元素:clear移除对继承的节和节组的所有引用，只允许由当前section和sectionGroup元素添加的节和节组remove移除对继承的节和节组的引用section定义配置节处理和呈现之间的关联sectionGroup定义配置节处理程序与配置节之间的关联Section元素的属性： allowDefinition：指定可以在哪个配置文件中使用该节。此特性的值是下列值：n Everywhere:允许在任何配置文件或目录中配置该节，如下所示(Machine.config，根Web.config，应用程序的Web.config，虚拟目录，应用程序中的物理子目录)n MachineToApplication：允许在下列文件之一中配置该节：（Machine.config，根Web.config，应用程序的Web.config）n MachineToWebRoot ：允许在下列文件之一中配置该节:(Machine.config，根Web.config)n MachineOnly:只允许在Machine.config文件中配置该节 allowExeDefinition：指定可以再哪个配置文件中使用该节，该特性可以是下列值:n MachineToApplication：允许在下列文件之一配置该节(Machine.config，应用程序配置)n MachineToRoamingUsern MachineToLocalUsern MachineOnly:只允许在Machine.config文件中配置该节 allowLocation:指定是否可以在location元素内使用该节 name：指定在该节的配置数据发生更改时是否应当重新启动应用程序 restartOnExternalChanges：指定在该节的配置数据发生更改时是否应当重新启动应用程序 type：必选特性。指定用来执行如下操作的配置节处理程序类的名称：处理在name特性中指定的节或元素中的配置设置。使用下列格式：type=”完全限定类名，程序集文件名，版本，区域性，公钥标记”sectionGroup属性： name:必选特性。指定与type特性指定的配置节处理程序关联的配置节或元素的名称。 type：必选特性。指定用来执行如下操作的配置节处理程序类的名称：处理在name特性中指定的节或元素中的配置设置。使用以下格式：type=”完全限定类名，程序集文件名，版本，区域性，公钥标记”2) appSettings:包含自定义应用程序设置，如文件路径、XML Web Services URL或存储在应用程序的.ini文件中的任何信息；file属性: 可选的 String 属性。指定包含自定义应用程序配置设置的外部文件的相对路径.指定的文件包含的设置类型与在 appSettingsadd、clear 和 remove 属性中指定的设置类型相同，并且使用的键/值对格式也与这些元素相同。指定的路径是本地配置文件的相对路径。如果找不到指定的文件，运行库会忽略该属性。由于 Web.config 文件的任何更改都会导致应用程序重新启动，因此，使用一个单独的文件则既可以让用户修改 appSettings 节中的值，又不会导致应用程序重新启动。该单独文件的内容将与 Web.config 文件中的 appSettings 节合并。此功能限于 appSettings 属性。子元素: Add:向应用程序设置集合添加名称/值对形式的自定义应用程序设置。 Remove: 从应用程序设置集合中移除对继承的自定义应用程序设置的引用 Clear: 移除所有对继承的自定义应用程序设置的引用，仅允许由当前 add 属性添加的引用appSettings连接数据库方式: ACCESS:SQL Server:Oracle:3) connectionStrings:为ASP.NET应用程序和功能指定数据库连接字符串(名称/值对的形式)的集合子元素:add clear removeadd元素的属性： connectionString:定义连接字符串值。该值可以为空字符串 name:定义用于访问连接字符串值的键 providerName:用于访问基础数据存储区的ADO.NET提供程序的名称access配置:Sql server配置：Oracle配置: 4) location:指定应用子配置设置的资源。此元素也锁定配置设置，以防止子配置文件重写这些设置二、 System.Web元素1、anonymousIdentification:针对应用程序授权配置匿名标识。这是在需要授权时，对没有经过身份验证的实体进行标识所必需的。、Cookieless:指定对于Web应用程序是否使用Cookie。此属性可以为下列可能值之一。 AutoDetect: 指定由 ASP.NET 决定发出请求的浏览器或设备是否支持 Cookie。如果发出请求的浏览器或设备支持 Cookie，则 AutoDetect 使用 Cookie 来保存用户数据；否则在查询字符串中使用标识符。如果浏览器或设备支持 Cookie，但当前禁用了 Cookie，则请求功能依然会使用 Cookie。 UseCookies: 指定无论浏览器或设备是否支持 Cookie，都使用 Cookie 来保存用户数据。这是默认设置。 UseDeviceProfile: 指定由 ASP.NET 根据 HttpBrowserCapabilities 设置来确定是否使用 Cookie。如果该设置指示浏览器或设备支持 Cookie，将使用 Cookie；否则，将在查询字符串中使用一个标识符。 UseUri: 指定无论浏览器或设备是否支持 Cookie，调用功能都使用查询字符串来存储标识符。、cookieName:指定分配给Cookie的名称(默认值为.ASPXANONYMOUS)、cookiePath:指定存储Cookie的目录的路径，路径区分大小写。(默认值为”/”指定的根目录)、cookieProtection:指定Cookie保护方案。此属性可以为下列值之一。 All:指定同时使用Validation和Encryption值来保护Cookie中的信息 Encryption:对Cookie中的信息进行加密 None:指定Cookie信息不受保护。Cookie中的信息以明文形式存储，将这些信息发回服务器时不会对它们进行验证 Validation:确保Cookie中的信息在发回服务器之前不会被更改(默认值)、cookieRequireSSL:指定将Cookie传输到客户端时是否需要安全套接字层(SSL)连接。因为ASP.NET设置身份验证Cookie属性Secure,所以，除非正在使用SSL连接，否则客户端不返回Cookie。默认值为false、cookieSlidingExpiration:必选的Boolean属性。指定 Cookie 超时是在每次请求时重置还是按预定义的固定时间间隔重置。如果为 true，则剩余的生存时间 (TTL) 少于 50% 时 Cookie 超时。如果为 false，则 cookieTimeout 持续时间过后 Cookie 超时。默认值为 true。 、cookieTimeout: 必选的 TimeSpan 属性。指定 Cookie 过期时间间隔（以分钟为单位）。 默认值为 100000 分钟（69 天 10 小时 40 分钟）。最大值为 2 年。、domain: 指定 Cookie 域。使用此属性可以在具有共同 DNS 命名空间的域（例如，以 结尾的所有站点）之间共享匿名标识 Cookie。若要共享匿名标识 Cookie，这些站点必须共享相同的解密和验证密钥。所有站点的其他匿名标识配置属性（如 cookiePath 和 cookieName）必须相同。有关更多信息，请参见 HttpCookie。默认值为空字符串 ()。、enabled: 可选的 Boolean 属性。指定是否启用匿名标识。如果为 true，则使用 Cookie（或没有 Cookie 的值）来管理用户的匿名标识符。默认值为 false。2、authentication:配置ASP.NET身份验证方案，该方案用于识别查看ASP.NET应用程序的用户属性:mode指定应用程序的默认身份验证模式。此特性可以为下列值之一。Windows将 Windows 验证指定为默认的身份验证模式。将它与以下任意形式的 Microsoft Internet 信息服务 (IIS) 身份验证结合起来使用：基本、摘要、集成 Windows 身份验证 (NTLM/Kerberos) 或证书。Forms将 ASP.NET 基于窗体的身份验证指定为默认身份验证模式Passport将 Microsoft Passport Network 身份验证指定为默认身份验证模式None不指定任何身份验证。您的应用程序仅期待匿名用户，否则它将提供自己的身份验证子元素forms配置 ASP.NET 应用程序以执行基于窗体的自定义身份验证password指定要重定向到的页（如果该页要求身份验证，而用户尚未通过 Microsoft Passport Network 身份验证注册）3、authorization元素:配置Web应用程序的授权，以控制客户端对URL资源的访问子元素allow向授权规则映射添加一个规则，该规则允许对资源进行访问deny向授权规则映射添加一条拒绝对资源的访问的授权规则示例:允许所有Admins角色成员进行访问以及拒绝所有users角色成员进行访问 4、browserCaps元素：指定所支持的浏览器及其功能的设置。属性:userAgentCacheKeyLength 指定浏览器标识符字符串的长度，该字符串要用作内部缓存中的缓存浏览器功能对象的键子元素:filter指定搜索字符串列表，通过这些字符串可以将各个设置分别应用于特定的浏览器定义result指定HttpCapabilitiesBase派生类，该类用于保存分析browserCaps节所得的结果use指定HTTP请求字符串，该字符串用于分析存储在filter和case元素中的浏览器功能信息5、caching元素：为web应用程序配置缓存设置示例:将某一页在服务器上仅缓存一分钟，并且根据浏览器类型和主版页存储该页不同的版本子元素：Cache定义全局应用程序缓存设置outputCache指定应用程序范围的输出缓存设置outputCacheSettings指定可以应用于程序中页的输出sqlCacheDependency为ASP.NET应用程序配置SQL缓存依赖项caching的Cache元素的属性:disableMemoryCollection获取或设置一个值，该值指示是否当计算机处于内存压力下时是否禁止执行缓存内存回收disableExpiration指示是否禁用缓存过期privateBytesLimit该值指示在缓存开始刷新过期项并尝试回收内存之前应用程序的最大专用字节大小。限制同时包括缓存所使用的内存量以及运行应用程序的正常内存开销percentagePhysicalMemoryUsedLimit该值指示在缓存开始刷新过期项并尝试回收内存之前可使用的计算机的物理内存的最大百分比privateBytesPollTime该值指示两次轮询应用程序专用字节内存使用量之间的时间间隔caching的outputCache元素的属性：enableOutputCache启用/禁用页输出缓存enableFragmentCache启用/禁用应用程序片段缓存sendCacheControlHeader该值指示默认情况下cache-control:private标头是否由输出缓存模块发送omitVaryStar允许/禁止在响应中发送HTTP”Vary:*”标头。默认设置为False，表示为输出缓存页发送“Vary: *”标头defaultProvider获取或设置默认输出缓存提供程序6、clientTarget元素：将特定用户代理的别名添加到用户代理别名的内部集合中示例:添加代理别名 7、compilation:配置ASP.NET用于编译应用程序的所有编译设置属性如下：assemblyPostProcessorType可选的 String 特性。通过引用程序集的处理器后功能为程序集指定后续处理编译步骤。 使用 程序集后处理器,程序集 格式。程序集后处理器 必须实现 IAssemblyPostProcessor 接口。 使用这种后续处理方法可以针对编译强制执行调试，这可以在指定部署模式时重写。默认值为空字符串Batch可选的 Boolean 特性。指示是否支持批处理。如果为 True，则清除在第一次访问文件时所需的编译导致的延迟。 当此特性设置为 True 时， ASP.NET 将以批处理模式预编译所有未编译的文件，第一次编译文件时，这将导致更长时间的延迟。 但在这一初始延迟之后，对文件进行后续访问时，将消除编译延迟。 默认值为 TruebatchTimeout可选的 TimeSpan 特性。指定批编译的超时期限（以秒为单位）。 如果编译不能在超时期限内完成，则编译器还原为当前页的单编译模式。 默认值为“900”（15 分钟）。debug可选的 Boolean 特性。指定是否应编译调试二进制文件（而非发布的二进制文件）。默认值为 FalsedefaultLanguage可选的 String 特性。指定要在动态编译文件中使用的默认编程语言，如 C# 或“PERL”。语言名是使用 system.codeDom 节的 compilers 元素或此元素的 compilers 子元素（已被否决）定义的。 默认值为 vb。explicit可选的 Boolean 特性。指定是否设置 Microsoft Visual Basic explicit 编译选项。 如果为 True，则必须使用 Dim、Private、Public 或 ReDim 语句声明所有变量。 默认值为 TruemaxBatchGeneratedFileSize可选的 Int32 特性。指定每个批编译过程中生成的源文件的最大组合大小（以 KB 为单位）。 通常情况下，当实际需要的位数很少却在内存中加载巨大的程序集并不是理想的做法。 该限制有助于确保程序集的大小控制在合理的范围内，使应用程序能够利用批处理机制而又不会使系统过载。 这类似于 maxBatchSize。 默认值为 1000maxBatchSize可选的 Int32 特性。指定每个成批处理的编译的最多页数。默认值为 1000numRecompilesBeforeAppRestart可选的 Int32 特性。指定应用程序重新启动前可能对资源进行动态重新编译的次数。 在全局和应用程序级别（而非目录级别）支持此特性。默认值为15optimizeCompilations可选的 Boolean 特性。指定在顶级文件被更改时，动态编译是否将重新编译整个网站。 顶级文件包括 Global.asax 文件与 Bin 和 App_Code 文件夹中的所有文件。 如果为 True，则仅重新编译更改过的文件。 默认值为 False。targetFramework可选的 String 特性。指定网站的目标 .NET Framework 的版本。默认值为 NulltempDirectory可选的 String 特性。指定编译期间用于临时文件存储的目录。默认值为空字符串 ()。如果存在空字符串且当前过程具有所需的访问权限则文件存储在 %FrameworkInstallLocation% Temporary ASP.NET Files 目录中urlLinePragmas可选的 Boolean 特性。指定编译器是否应使用 URL（而非物理路径）。默认值为 False子元素:assemblies定义一个程序集名称的集合，这些程序集在ASP.NET资源编译期间使用buildProviders定义用于编译自定义资源文件的生成提供程序的集合codeSubDirectories定义一个有序子目录，这些子目录包含在运行时编译的文件Compliers定义一个编辑器选项的集合expressionBuilders定义一个要在编译期间使用的资源字符串的集合compilation的assemblies的add元素compilation的buildProviders的add元素compilation的codeSubDirectories的add元素:compilation的compilers的compiler元素: compilation的expressionBuilders的add元素7、customErrors元素:为ASP.NET应用程序提供有关自定义错误消息的信息defaultRedirect指定出错时将浏览器定向到的默认 URL。 如果未指定该特性，则显示一般性错误。 URL 可以是绝对的（如 /ErrorPage.htm）或相对的。 相对 URL（如 /ErrorPage.htm）是相对于为该特性指定 URL 的 Web.config 文件，而不是相对于发生错误的网页。 以波形符 () 开头的 URL（如 /ErrorPage.htm）表示指定的 URL 是相对于应用程序的根路径mode必选特性。指定是启用或禁用自定义错误，还是仅向远程客户端显示自定义错误。此特性可以为下列值之一On指定启用自定义错误Off指定禁用自定义错误RemoteOnly指定仅向远程客户端显示自定义错误并且向本地主机显示ASP.NET错误redirectMode指定当显示自定义错误页面时，如何处理原始请求的URL的值此特性可以为下列值之一。ResponseRedirect说明直接连接到浏览器的URL必须与原来的Web请求URL不同ResponseRewrite说明直接连接到浏览器的URL必须为原来的Web请求的URL8、deployment元素：定义用于支持Web应用程序部署的配置设置Retail只能在计算机级别设置，不能在应用程序级别设置。9、deviceFilters元素:根据用户代理或浏览器指定ASP.NET MobileCapabilities系统中的设备或设备类。页或应用程序开发人员可以使用设备筛选器来重写控件属性。设备筛选器还可以用于定义能够更改布局和外观的内容块或模板块示例: /指定该功能应与之比较的参数。 如果定义了 compare 特性，则需要此特性 /指定提供计算委托的方法10、fullTrustAssemblies：为应用程序配置一组完全信任程序集fullTrustAssemblies子元素:add clear removefullTrustAssemblies的add元素的属性:assemblyName指定程序集的全名version指定程序集的版本号publicKey一个字符串，其中包含与程序集关联的公钥十六进制表示形式11、globalization：配置应用程序的全球化设置示例： 12、healthMonitoring元素：针对运行状况监视配置应用程序属性:enabled指定是否启用运行状态监视功能heartbeatInterval指定时间间隔，即引发WebHeartbeatEvent事件的频率(以秒为单位)子元素:bufferModes定义提供程序的缓存功能eventMappings将事件友好名称映射到相关的事件类型profiles定义一个参数集的集合以在配置事件时使用Providers定义处理事件的运行状况监视功能提供程序rules将事件映射到提供程序/webabcd/archive/2007/05/20/753507.html13、hostingEnvironment元素：定义用来控制应用程序宿主环境的行为的配置设置属性：idleTimeout卸载不活动的应用程序前设置时间值，格式为HH:MM:SS或不限。默认值为”Infinite”shadowCopyBinAssemblies设置一个bool值，该值指示Bin目录中的应用程序的程序集是否影像赋值到该应用程序的ASP.NET临时文件目录中。默认值为trueshutdownTimeout设置正常关闭应用程序的时间量(以秒为单位)urlMetadataSlidingExpiration确定ASP.NET如何缓存URL的元数据。格式为HH:MM:SS或不限。默认值为1分钟14、httpCookies元素：配置Web应用程序所使用的Cookie的属性/获取一个指示是否需要安全套接字层(SSL)通信的值15、httpHandlers元素：根据请求中指定的URL和HTTP谓词将传入的请求映射到相应的处理程序。可以再配置层次中的任何级别声明此元素。子元素: add remove clearhttpHeadlers的add元素属性path指定路径特性可以包含单个URL路径或简单的通配符字符串type指定逗号分隔的类/程序集组合verb指定谓词列表可以是逗号分隔的HTTP谓词列表validate如果为false，则ASP.NET在实际匹配请求达到之前将不尝试加载该类示例(针对*.mdf、*.ldf文件的Get或者Post请求都会交给System.Web.HttpForbiddenHandler来处理，处理的结果就是用户不能查看或下载相关文件)： 16、httpModules元素:在一个应用程序内配置HTTP模块。可以再配置层次中的任何级别声明此元素子元素: add remove clearhttpModules的add元素的属性:name为模块提供一个好记的名称，这使您可为 global.asax 文件内的模块事件关联一个事件处理程序type指定由版本、程序集和公钥标记组成的逗号分隔的类/程序集组合。 ASP.NET 首先在应用程序的专用 bin 目录中搜索程序集 DLL，然后在系统程序集缓存中搜索程序集 DLL。 17、httpRuntime元素:配置ASP.NET HTTP运行时设置，以确定如何处理对ASP.NET应用程序的请求apartmentThreading启动单元线程处理以实现传统的ASP兼容性appRequestQueueLimit指定ASP.NET将为应用程序排队的请求的最大数目。当没有足够的自由线程来处理请求时，将对请求进行排队。 当队列超出了该特性中指定的限制时，将通过“503 - 服务器太忙”错误信息拒绝传入的请求。 默认值为 5000delayNotificationTimeout指定延迟通知的超时值(单位为秒)默认值为5enable指定是否在当前的节点及子节点级别启动应用程序域(AppDomain)，以接收传入的请求enableHeaderChecking指定ASP.NET是否应检查请求标头，以检测可能的注入式攻击。如果检测到攻击，ASP.NET将返回错误作为响应enableKernelOutputCache指定是否启用输出缓存。 该特性只有在安装 Microsoft Internet 信息服务 (IIS) 6.0 或更高版本之后才起相应的作用。 输出缓存的配置和请求的类型决定了是否对内容进行缓存。 若要对响应进行缓存，必须满足以下条件：必须通过页指令或使用缓存 API 显式启用缓存。缓存必须具有过期策略，以便内核知道何时放弃响应。缓存不能有任何可变标头或参数。不需要身份验证。enableVersionHeader指定ASP.NET是否应输出版本标头。Microsoft Visual Studio 2005 利用此特性确定所使用的 ASP.NET 的版本。 对于生产环境，该属性不是必需的，可以禁用encoderType获取或设置可用于处理HTML和URL编码的自定义类型的名称。executionTimeout指定在被ASP.NET自动关闭前，允许执行请求的最大秒数。只有当 compilation 元素中的调试特性为 False 时，此超时特性才适用。 如果 debug 特性为 True，为了有助于避免应用程序在调试过程中关闭，请不要将此超时特性设置为较大值。maxRequestLength指定输入流缓冲阈值限制(以KB为单位)。此限制可用于防治拒绝服务攻击maxWaitChangeNotification指定从第一次文件更改通知开始，在为新请求更新启动AppDomain之前等待的最长时间minFreeThreads指定允许执行新请求的自由线程的最小数目minLocalRequestFreeThreads指定ASP.NET保持的允许执行新本地请求的自由线程的最小数目。这一指定的线程数目是为从本地主机传入的请求而保留的，以防某些请求在其处理期间发出对本地主机的子请求。 这有助于避免可能的因递归重新进入 Web 服务器而导致的死锁。 requestLengthDiskThreshold指定输入流缓冲阈值的限值(以KB为单位)。该值不应超过maxRequestLength特性requestValidationMode获取或设置一个版本号，该版本号指示将使用哪种ASP.NET版本特定的验证方法requestValidationType获取或设置用于验证HTTP请求的类型的名称requireRootedSaveAsPath指定SaveAs方法中的filename参数是否必须为绝对路径sendCacheControlHeader指定是否发送默认情况下设置为Private的缓存控制标头。如果为True，则客户端缓存被禁用shutdownTimeout指定辅助进程关闭所允许的秒数useFullyQualifiedRedirectUrl指定客户端重定向是否是完全限定的，或者指定是否代之以将重定向发送到客户端。waitChangeNotification指定重新启动AppDomain之前等待另一次文件更改通知的时间示例(控制用户最大能上传文件为40M,最大超时时间为60秒，最大并发请求为100):18、identity元素:配置Web应用程序的标识。此元素可以在配置文件层次结构中的任何级别进行声明属性:Impersonate指定是否对每一个请求使用客户端模拟Password如果impersonate特性为true，则指定要使用密码username如果impersonate特性为true,则指定要使用的用户名。此特性和 password 特性以明文形式存储在配置文件中19、machineKey元素：对算法、密钥进行配置，以便将其用于对Forms身份验证数据和视图状态数据进行加密、解密和验证，并将其用于进程外会话状态标识。decryption可选的 String 特性。指定用于加密和解密身份验证数据的算法。此特性可以具有下列值之一：l Auto 指定 ASP.NET 将自动确定要使用的解密算法。 这是此特性的默认值为l AES 指定 ASP.NET 使用 AES (Rijndael) 算法来加密和解密数据。 AES 是默认算法，并且当该特性的值为 Auto 时会使用它。 此算法符合美国联邦信息处理标准 (FIPS)。l DES指定 ASP.NET 使用数据加密标准 (DES) 算法来加密和解密数据。此算法仅用于传统用途，并且只应用于要求与 ASP.NET 的早期版本兼容的情况l 3DES指定 ASP.NET 使用 TripleDES 算法 (3DES) 对数据进行加密和解密。此算法仅用于传统用途，并且只应用于要求与 ASP.NET 的早期版本兼容的情况l alg: algorithm_name指定 ASP.NET 使用自定义算法对数据进行加密和解密。 必须在 SymmetricAlgorithm 派生的类中定义加密算法。 ASP.NET 调用 SymmetricAlgorithm.Create 方法并传入此处指定的算法的名称decryptionKey指定用于对数据进行加密和解密的密钥或者生成该密钥的进程。 当加密视图状态时，该特性用于 Forms 身份验证加密和解密以及视图状态加密。 此特性可以具有下列值之一：l AutoGenerate, IsolateApps 指定自动生成该密钥。 这是默认值。 AutoGenerate 修饰符指定 ASP.NET 生成随机密钥并将其存储在本地安全机构 (LSA) 中。 IsolateApps 修饰符指定 ASP.NET 使用应用程序 ID 为每个应用程序生成唯一的加密密钥l 键值指定手动分配的键。 该 decryptionKey 值必须手动设置为十六进制字符串，以确保 Web 场中的所有服务器上的配置保持一致。 关键应该是 DES 加密长度应为 64 位 （16 个十六进制字符）或 3DES 应为 192 位（48 个十六进制字符）。 对于 AES 时，密钥长度可以是 128 位 (32 个字符)、192 位 (48 个字符)，也可以是 256 位 (64 个字符)。 最长密钥提供了最多 security.Random 密匙，可以通过手动使用 RNGCryptoServiceProvider 类来生成validation指定使用的哈希算法来验证数据。默认情况下，视图状态将作为 Base-64 编码字符串传输。 虽然编码的数据看起来是不可理解的，但基 64 编码未提供安全性，因为它易于被解码。 如果将敏感数据存储到查看状态，则除了验证敏感数据，还可指定 ASP.NET 加密查看状态的数据。 可为 Web 应用程序所有页面或指定页面指定视图状态加密。如果您要使用视图状态加密，请将此特性设置为 AES。 在这种情况下，decryptionKey 值将用于加密视图状态数据，而 ASP.NET 将使用 HMACSHA1 哈希算法进行数据验证。此特性可以具有下列值之一。l AES 指定 ASP.NET 使用 AES (Rijndael) 算法在加密查看状态时对数据进行加密和解密。 如果为 validation 特性指定了此选项，则将使用 HMACSHA1 算法进行验证。 l MD5 指定 ASP.NET 使用 Message Digest 5 (MD5) 哈希算法来验证数据。 此算法仅用于传统用途，并且只应用于要求与 ASP.NET 的早期版本兼容的情况。 l SHA1 指定 ASP.NET 使用 HMACSHA1 哈希算法来验证数据。 只应在需要将此属性设置为 AES 以支持试图状态加密时才使用此算法。 否则，请使用 HMACSHA256、HMACSHA384 或 HMACSHA512。 l 3DES 指定 ASP.NET 使用 TripleDES (3DES) 算法在加密查看状态时对数据进行加密和解密。 如果为 validation 特性指定了此选项，则将使用 HMACSHA1 算法进行验证。 此算法仅用于传统用途，并且只应用于要求与 ASP.NET 的早期版本兼容的情况。 l HMACSHA256 指定 ASP.NET 使用 HMACSHA256 哈希算法来验证数据。 这是默认值。 此算法符合美国联邦信息处理标准 (FIPS)。 l HMACSHA384 指定 ASP.NET 使用 HMACSHA384 哈希算法来验证数据。 此选项对需要比 HMACSHA256 算法提供的安全性更高的安全性的应用程序可用。 此算法符合美国联邦信息处理标准 (FIPS)。 l HMACSHA512 指定 ASP.NET 使用 HMACSHA512 哈希算法来验证数据。 此选项对需要比 HMACSHA384 算法提供的安全性更高的安全性的应用程序可用。 此算法符合美国联邦信息处理标准 (FIPS)。 l alg: algorithm_name指定 ASP.NET 使用自定义算法。 谓词 alg: 之后是从 KeyedHashAlgorithm 中派生出来的类的名称。 ASP.NET 调用 Create() 方法并传入此处指定的算法的名称validationKey指定验证数据的密钥，或生成密钥的过程。 validationKey 值也用于生成进程外的应用程序特定的会话 ID，以确保会话状态变量在会话之间是相互隔离的。 此特性可以具有下列值之一：l AutoGenerate, IsolateApps 指定自动生成该密钥。 这是默认值。 AutoGenerate 修饰符指定 ASP.NET 生成随机密钥并将其存储在本地安全机构 (LSA) 中。 IsolateApps 修饰符指定 ASP.NET 使用应用程序 ID 为每个应用程序生成唯一的加密密钥。 l 键值指定手动分配的键。 该 validationKey 值必须手动设置为十六进制字符串，以确保配置在整个网络场中的所有服务器保持一致。 密钥的长度取决于所使用的哈希算法： AES 需要一个 256 位项（64 个十六进制字母）。 MD5 需要 128 位密钥（32 个十六进制字符）。 SHA1 需要有一个 160 位的键（40 个 16 进制的字母）。 3DES 需要 192 位密钥（48 个十六进制字符）。 HMACSHA256 需要有一个 256 位的键（64 个十六进制字母）。 HMACSHA384