1.介绍
Ajax由于其良好的交互性,在去年很引人注目。Google Suggest 和 Google Maps [ref 1]就是一些Ajax早期的著名应用。现在,企业正在考虑他们如何也能利用Ajax,web开发者在学习它,安全专家在想如何使它变得安全,黑客们在思考如何入侵。所有能提高服务器吞吐量,能产生更多的动态页面传输,而且能为最终用户提供更加丰富的web应用的技术都必然在这个领域出现。
Ajax的下一步计划称为”Web 2.0”。这篇文章的目的是介绍一些关于现代Ajax web技术的安全建议。尽管Ajax的应用难于测试,安全专家已经拥有大多数所需要的有关方法和工具。作者将讨论如今的趋势是否需要告别完全的网络更新,使用Ajax也意味着我们将面临一些新的安全问题。我们将从Ajax技术简要介绍开始,接着讨论使用Ajax技术应用带来的安全冲击。
2.初识Ajax
正常的web应用程序在同步模式下工作,一个web请求之后,一个响应在表示层引起一些动作。例如,点击链接或者提交按钮向web服务器产生一个带有相应参数的请求。传统的” click and wait”方式限制了应用程序的交互性。Ajax(Asychronous Jav...[ 查看全文 ]