- Rongsen.Com.Cn 版权所有 2008-2010 京ICP备08007000号 京公海网安备11010802026356号 朝阳网安编号:110105199号
- 北京黑客防线网安工作室-黑客防线网安服务器维护基地为您提供专业的
服务器维护
,企业网站维护
,网站维护
服务 - (建议采用1024×768分辨率,以达到最佳视觉效果) Powered by 黑客防线网安 ©2009-2010 www.rongsen.com.cn
作者:黑客防线网安Ajax教程基地 来源:黑客防线网安Ajax教程基地 浏览次数:0 |
1.介绍
Ajax由于其良好的交互性,在去年很引人注目。Google Suggest 和 Google Maps [ref 1]就是一些Ajax早期的著名应用。现在,企业正在考虑他们如何也能利用Ajax,web开发者在学习它,安全专家在想如何使它变得安全,黑客们在思考如何入侵。所有能提高服务器吞吐量,能产生更多的动态页面传输,而且能为最终用户提供更加丰富的web应用的技术都必然在这个领域出现。
Ajax的下一步计划称为”Web 2.0”。这篇文章的目的是介绍一些关于现代Ajax web技术的安全建议。尽管Ajax的应用难于测试,安全专家已经拥有大多数所需要的有关方法和工具。作者将讨论如今的趋势是否需要告别完全的网络更新,使用Ajax也意味着我们将面临一些新的安全问题。我们将从Ajax技术简要介绍开始,接着讨论使用Ajax技术应用带来的安全冲击。
2.初识Ajax
正常的web应用程序在同步模式下工作,一个web请求之后,一个响应在表示层引起一些动作。例如,点击链接或者提交按钮向web服务器产生一个带有相应参数的请求。传统的” click and wait”方式限制了应用程序的交互性。Ajax(Asychronous Javascript and XML)技术的使用缓解了这个问题。文中,我们将Ajax定义为向web服务器产生异步调用而不引起网页完全更新的方法。这种交互性的通过三种不同的组件实现:客户端脚本语言,XmlHttpRequest (XHR)对象和XML。
让我简短地分别介绍一下这些组件。在请求响应中,客户端脚本语言被用来初始化服务器调用和程序的存取,以及更新客户浏览器的DOM。客户端普遍使用JavaScript,由于它被知名浏览器普遍的采用。第二个组件是XHR对象,它是最重要的部分。JavaScript这类语言使用XHR对象在场景后面向web服务器发送请求,使用HTTP作为传输中介。接着是第三个组件,它的使用是必要的:XML是被交换信息的数据格式。
很多站点使用JSON(JavaScript Object Notation)代替XML,因为其更加容易解析不需要那么多管理的费用。使用JavaScript解析JSON,只需要简单的把它传给eval()函数。另一方面,有人可能使用XPath解析返回的XML。同样的,外面还有很多”Ajax 站点”既不使用XML,也不使用JSON,而是仅仅发送无格式的动态插入到网页的旧HTML碎片。
因此,Ajax不是一个新的技术商标,而是现存技术的联合应用,推动了web应用程序高度交互性的发展。实际上,所有这些组件已经出现好些年了,随Internet Explorer 5.0的发布而显著起来。开发者创建了Ajax许多的应用,诸如”提示”文本框(象Google Suggest)和自动更新数据列表。所有的XHR请求仍然是由典型的服务器端框架执行,例如标准的选择象J2EE,.NET和PHP。下面的Figure 1. 是Ajax应用程序的异步特性图例:
图 1.Ajax异步顺序
我要申请本站:N点 | 黑客防线官网 | |
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479 |