Ajax是指一種創(chuàng)建交互式網(wǎng)頁(yè)應(yīng)用的網(wǎng)頁(yè)開發(fā)技術(shù)，其開發(fā)與傳統(tǒng)的CS開發(fā)有很大的不同，這些不同引入了新的編程問題，最大的問題在于易用性，目前jQuery，Mootools，Dojo以及Ext JS是比較流行的Ajax框架。

然而，伴隨著Ajax應(yīng)用程序的發(fā)展，我們發(fā)現(xiàn)了它的一些不足之處，我們發(fā)現(xiàn)它的安全漏洞也在逐漸變大，就像慢慢地把基于Ajax的站點(diǎn)放入了一顆定時(shí)炸彈中。

Ajax的好處

在當(dāng)年“Web應(yīng)用程序”的美好時(shí)代，事情非常簡(jiǎn)單。你填寫了一個(gè)表單，點(diǎn)擊“提交”按鈕，然后當(dāng)前屏幕就消失了，等待一小會(huì)兒后你就轉(zhuǎn)入到了下一個(gè)頁(yè)面。今天的狀況已經(jīng)不是這樣的了，用戶需要的是一種就像任何桌面應(yīng)用程序那樣流暢、快捷和人性化的Web體驗(yàn)。

Ajax經(jīng)常是和DHTML(Dynamic HTML)一起協(xié)作的，它的順利執(zhí)行需要允許網(wǎng)頁(yè)中的JavaScript代碼和web服務(wù)器在后臺(tái)無縫通訊。比方說，當(dāng)你開始在Google Suggest的搜索框中輸入東西時(shí)，web頁(yè)面就和服務(wù)器在后臺(tái)開始交換數(shù)據(jù)，然后會(huì)給出一些你可能需要的詞條等。所有的這一切都不需要頁(yè)面刷新或者按下任何按鈕。同樣這也就是像Gmail那樣的應(yīng)用程序怎么能對(duì)實(shí)時(shí)拼寫檢查做的那么好的原因。

Ajax怎樣工作

Ajax復(fù)雜的原理已經(jīng)超出了今天所要闡述的范圍，這里只簡(jiǎn)單描述一下。你的頁(yè)面上的JavaScript代碼能夠在不依賴于用戶的情況下和你的Web服務(wù)器取得聯(lián)系。這里面起核心作用的就是JavaScript的XMLHttpRequest對(duì)象，這個(gè)對(duì)象能夠被就像用戶敲擊鍵盤或者時(shí)鐘事件在后臺(tái)或者異步觸發(fā)(也就是術(shù)語(yǔ)異步JavaScript和XML)。如果你在Google Suggest中輸入“Ajax”后，就會(huì)得到像我輸入后得到的服務(wù)器請(qǐng)求一樣:

1. www.google.com/complete/search?hl=en&js=true&qu=aj
2. www.google.com/complete/search?hl=en&js=true&qu=aja
3. www.google.com/complete/search?hl=en&js=true&qu=Ajax

在這個(gè)術(shù)語(yǔ)中的XML部分有一點(diǎn)會(huì)引起人們的誤解，其實(shí)這一部分是沒有任何意義的。它是從JavaScript對(duì)象得來的名字，同時(shí)許多Ajax風(fēng)格的應(yīng)用程序使用了XML，這個(gè)對(duì)象能夠就任何事務(wù)向服務(wù)器發(fā)出一個(gè)請(qǐng)求。甚至JavaScript代碼本身也能夠被取回和評(píng)估。繼續(xù)完成我的輸入“Ajax example”，將會(huì)從Google的服務(wù)器產(chǎn)生下面的回應(yīng):

sendRPCDone(frameElement, “Ajax example”,   
new Array(”Ajax example”, “Ajax examples”),   
new Array(”153,000 results”, “177,000 results”),   
new Array(”")); 

這將會(huì)給你一些關(guān)于強(qiáng)大的Ajax的暗示吧，它具有在運(yùn)行中(on the fly)把新的JavaScript代碼加入到瀏覽器中的能力。然而，最優(yōu)化的方法看起來好像束縛了XML協(xié)定。舉個(gè)例子說明一下，比如Google產(chǎn)生了下面的這個(gè)東西:Ajax example 153,000；Ajax examples 177,000。

顯然，你可以在一個(gè)合適的表單中解釋這些XML數(shù)據(jù)，但我們要感謝JavaScript，它確實(shí)能夠在一些非常典型的限制條件下和大量討厭的IE Bug環(huán)境里非常好的處理XML對(duì)象。為了幫助你理解一些Ajax的問題，我在這里給你介紹一個(gè)假想的旅行公司-“時(shí)代尖端旅行公司”。由于受到Ajax bug的推動(dòng)，他們的主要Web開發(fā)者M(jìn)ax Uptime為了創(chuàng)建一個(gè)這樣的應(yīng)用程序，他決定混合使用Ajax，這樣，他走在時(shí)代尖端了。 #p#

Ajax的問題

半數(shù)以上的Ajax安全風(fēng)險(xiǎn)來自隱含在服務(wù)器中的漏洞。顯然，使用安全編碼技術(shù)的好的設(shè)計(jì)，對(duì)于更安全的Ajax大有幫助，我們需要感謝Max 熟悉開放萬(wàn)維網(wǎng)應(yīng)用安全計(jì)劃(the Open Web Application Security Project – OWASP)排名前十的最嚴(yán)重Web應(yīng)用程序安全漏洞列表。不幸的是，當(dāng)Max實(shí)現(xiàn)Ajax的時(shí)候，他仍然需要面對(duì)許多額外的因素：

1.新的技術(shù):如果Max想把他的站點(diǎn)連接到一個(gè)SQL數(shù)據(jù)庫(kù)，他在Google查到了數(shù)百萬(wàn)的例子。Ajax技術(shù)，不管這種技術(shù)有多年輕，它仍然是出現(xiàn)在采購(gòu)循環(huán)中相對(duì)較早的，盡管它只有很少一部分好的例子出現(xiàn)在網(wǎng)絡(luò)上。為了解決一些難處理的和不必要的復(fù)雜問題，這就要求像Max那樣的開發(fā)者去自主開發(fā)。Max也就不得不編寫服務(wù)器端和客戶端的代碼，創(chuàng)建他自己不太確定的協(xié)議(特別是對(duì)服務(wù)器響應(yīng)來講)。不管這些協(xié)議有多好，都將會(huì)及時(shí)表現(xiàn)在頁(yè)面上。

2.非傳統(tǒng)方式的設(shè)計(jì):Ajax有一點(diǎn)點(diǎn)不同于傳統(tǒng)設(shè)計(jì)方式，因?yàn)檫@樣的應(yīng)用程序是半客戶端半服務(wù)端的。在Max的例子里，他是唯一的開發(fā)者，所以他為服務(wù)端和客戶端都能夠進(jìn)行編碼。在同一時(shí)間使用兩種不同的語(yǔ)言(特別是在早期階段)進(jìn)行開發(fā)將會(huì)產(chǎn)生一些初級(jí)的編碼錯(cuò)誤，因?yàn)樗趦啥藖砘靥S，對(duì)一端來講非常好，但可能在另一端不能夠勝任。即使Max有一個(gè)大的開發(fā)團(tuán)隊(duì)，安全編碼責(zé)任也可能在服務(wù)端和客戶端開發(fā)小組之間代碼移交的時(shí)候發(fā)生問題。

3.太多的腳本語(yǔ)言:Max憑借他自己的聰明才智決定建立世界上最優(yōu)秀的旅行登記工具。你從輸入你現(xiàn)在的位置(通過郵政編碼、電話區(qū)號(hào)或者 GPS等等)開始登記，這時(shí)候一個(gè)Ajax請(qǐng)求就會(huì)被立即發(fā)送來確定你確切的位置。從那時(shí)候開始，屏幕上就會(huì)填入你所有可以利用的旅行方式，這一切甚至都是在你決定你想要去什么地方、你打算什么時(shí)候動(dòng)身和你打算和誰(shuí)一同去之前就完成的。

這個(gè)屏幕上的單元格和控件都充滿了Ajax驅(qū)動(dòng)，服務(wù)器端和客戶端的腳本可能需要超過20個(gè)不同的服務(wù)器調(diào)用。你可以想像一個(gè)很小的個(gè)體服務(wù)器程序，比如findairportsbylocation.aspx 或者determinemaxbaggageallowancebyairline.php。

顯而易見，如果沒有Max的仔細(xì)計(jì)劃(比如創(chuàng)建多功能的“重載”JavaScript函數(shù)和服務(wù)器腳本)，每一次設(shè)計(jì)他都需要?jiǎng)?chuàng)建超過40個(gè)獨(dú)立的部分。更多的編程意味著會(huì)產(chǎn)生更多的錯(cuò)誤和bug，意味著需要更多的時(shí)間去編寫、管理、測(cè)試和更新代碼。不僅如此，因?yàn)樵诳蛻舳说?JavaScript代碼中應(yīng)用了大量的這種腳本，他們?cè)谡降某绦驕y(cè)試中也容易變得很健忘。

4.確定小部分的Ajax不會(huì)引起危害:這個(gè)站點(diǎn)是一個(gè)計(jì)劃出行的站點(diǎn)，但是Max考慮的是它將立刻為你提供一個(gè)顯示精確位置的衛(wèi)星視圖，并且把你所要到達(dá)目的地的天氣情況也提供給你。Ajax最大的誘惑之一看起來好像是直到最后一刻它還在進(jìn)行其它的操作，就像一個(gè)講解員在那里解說一樣，為了 Ajax使用了Ajax。當(dāng)Max開始嘗試他的新想法時(shí)，他會(huì)逐漸嘗試增加更多新的功能，完全忽視測(cè)試的需要。

5.不安全的通訊:每一個(gè)Ajax調(diào)用可能只回傳很少數(shù)量的數(shù)據(jù)給客戶端，但那些數(shù)據(jù)是私有的、保密的。Max可以編寫一個(gè)便利的工具來對(duì)你的信用卡號(hào)碼進(jìn)行數(shù)字校驗(yàn)，但是如果使用純文本代替over SSL進(jìn)行發(fā)送數(shù)據(jù)會(huì)怎樣呢?這是一個(gè)顯而易見的問題，但是當(dāng)有許多例行程序需要考慮，特別是屏幕上其它99%的數(shù)據(jù)不是真正的機(jī)密數(shù)據(jù)時(shí)，很容易就會(huì)忽視掉SSL的。

6.服務(wù)器端訪問控制:使用JavaScript程序來觸發(fā)Ajax經(jīng)常會(huì)掩飾一些顯而易見的編碼錯(cuò)誤，服務(wù)器端訪問控制就是一個(gè)例子。假設(shè)Max想?yún)⒖寄闵洗斡斡[的一個(gè)詳細(xì)目的地來為你提供你中意的旅館，他可能會(huì)是像下面這樣:showprevioushotels.aspx?userid=12345&destination=UK。

這當(dāng)然是非常好的，但是如果一個(gè)惡意用戶把URL改成了如下所示該怎么辦呢:showprevioushotels.aspx?userid=12346&destination=%，他們會(huì)得到其他人最喜愛的旅館嗎?(注意:%在SQL語(yǔ)句中是通配符)。無疑，這是一個(gè)沒有什么危害的例子，但是Max應(yīng)該使用 session、cookie或者其它符號(hào)形式來確保數(shù)據(jù)能并且只能發(fā)送到正確的用戶那里。它們可能僅僅是數(shù)據(jù)的一小部分，但它們可能就是最重要的一小部分。

7.服務(wù)器端驗(yàn)證:實(shí)際上這里有兩個(gè)問題。第一，Ajax控制經(jīng)常被用來在用戶最后提交到服務(wù)器之前的輸入驗(yàn)證。這麻痹了Max，使Max有一種虛假的安全感，原因是他建立了稱作alloweddestinations.php的函數(shù)，根據(jù)用戶的ID來決定他們能夠到達(dá)的正確目的地。

因?yàn)檫@是一個(gè)服務(wù)器端的檢查，當(dāng)這個(gè)頁(yè)面最后被提交的時(shí)候他不必再次為在服務(wù)器上做檢查而煩惱，這里我們假定不會(huì)有惡意的用戶暗中破壞從alloweddestinations.php的響應(yīng)或者破壞對(duì)服務(wù)器最后的請(qǐng)求，Ajax控制可以比用戶自己更仔細(xì)驗(yàn)證用戶的輸入，但是他們還是經(jīng)常在服務(wù)器上最后做一次驗(yàn)證。

Ajax驗(yàn)證的第二個(gè)問題就是控制本身會(huì)受到驗(yàn)證漏洞的影響。這里再次強(qiáng)調(diào)一下，URL通常是隱藏著的，所以也會(huì)經(jīng)常忘掉它。舉例說明一下，也許我可以使用SQL Injection來對(duì)剛才的腳本進(jìn)行攻擊，如下所示:

showprevioushostels.aspx?userid=’;  
update users set type=’admin’where userid=12345; 

就會(huì)讓我登錄后具有系統(tǒng)管理員的權(quán)限。當(dāng)然，如何取得那些表名(table)和字段名已經(jīng)超出了本文討論的范圍，但是你已經(jīng)了解這種情況了，不是嗎?

8.客戶端驗(yàn)證:我們已經(jīng)知道在剛才的Google Suggest例子中，通過簡(jiǎn)單評(píng)測(cè)服務(wù)端的響應(yīng)后動(dòng)態(tài)創(chuàng)建和執(zhí)行JavaScript函數(shù)是可行的。如果沒有任何形式的驗(yàn)證(如果這樣的話在客戶端很難保證可靠性和流暢性)，客戶端將僅僅簡(jiǎn)單執(zhí)行服務(wù)器需要它完成的事情。

這樣的話，由于真正的代碼怎么執(zhí)行的對(duì)于一個(gè)普通用戶來講是永遠(yuǎn)看不到的(也就是說你不能夠“查看源文件”)，于是潛在地為惡意的黑客們打開了一個(gè)完全的攻擊導(dǎo)向。如果服務(wù)器的響應(yīng)持續(xù)不斷地被搗亂(這種破壞行為可能是在Web服務(wù)器本身也可能是在數(shù)據(jù)傳輸過程中)，這種攻擊將很難被發(fā)現(xiàn)。Max使用下面的響應(yīng)在目的地網(wǎng)頁(yè)上更新天氣圖標(biāo)，他是用的函數(shù)是eval();函數(shù):updateWeatherIcon(’cloudy.gif’)。

小結(jié)

毫無疑問，Ajax和Ajax-style技術(shù)都是通向web設(shè)計(jì)的光明大道。開發(fā)者可以在web上創(chuàng)造出以前從所未有的真正的“應(yīng)用程序”，使用Ajax必須小心謹(jǐn)慎，這樣才能夠保證web站點(diǎn)的安全。

然而，最大的威脅之一，來自日益復(fù)雜的使用Ajax的客戶端腳本和服務(wù)器端腳本。這些腳本被技術(shù)手段隱藏在了視線之外，使測(cè)試很不直觀;同時(shí)，這種新技術(shù)看起來也使web開發(fā)者忘掉了基本的好的編碼方式。就像訪問控制和輸入校驗(yàn)這樣的問題也不會(huì)消失，它們變得更多更復(fù)雜了。

【編輯推薦】

1. 淺談如何提高AJAX客戶端響應(yīng)速度
2. Ajax分頁(yè)功能的無框架實(shí)現(xiàn)方法
3. 一套通用Ajax框架的源代碼
4. Ajax模式之緩存控制器模式
5. AJAX推送與拉取方式的比較