征服 Ajax 应用程序的安全威胁

Ajax，即异步 JavaScript 与 XML，是 Web 2.0 中的一项关键技术，它允许把用户和 Web 页面间的交互与 Web 浏览器和服务器间的通信分离开来。尤其是 Ajax 可以驱动 mushup，mushup 就是将多个内容或服务集成到一个单一的用户体验中。然而，由于其动态和多畴性，Ajax 和 mushup 技术引入了一些新型威胁。了解 Ajax 技术所带来的威胁，并通过探索一些最佳实践来避免它们。

Ajax 构建于动态 HTML（DHTML）技术之上，其中包括如下这些最常见的技术：

• JavaScript：JavaScript 是一种脚本语言，在客户端 Web 应用程序中经常使用。
• 文档对象模型（Document Object Model，DOM）：DOM 是一种用于表示 HTML 或 XML 文档的标准对象模型。如今，大多数浏览器都支持 DOM 并允许 JavaScript 代码动态地读取和修改 HTML 内容。
• 层叠样式表（Cascading Style Sheets，CSS）：CSS 是一种用于说明 HTML 文档表示的样式表语言。JavaScript 能够在运行的时候对样式表进行修改，这样便可以动态地更新 Web 页面的表示。

在 Ajax 中，客户端 JavaScript 通过动态地修改 DOM 树和样式表来更新 Web 页面。此外，异步通信（可以通过下面介绍的技术实现）允许动态地更新数据，而无需重新加载整个 Web 页面：

• XMLHttpRequest ：XMLHttpRequest 是一个 API，它允许客户端的 JavaScript 与远程服务器建立 HTTP 连接和交换数据，比如说纯文本、XML 和 JSON（JavaScript Serialized Object Notation）。
• JSON：JSON 由 RFC 4627 提出，是一种轻量的、基于文本的、独立于语言的数据交换格式。它以 ECMAScript 语言的一个子集为基础（这使之成为 JavaScript 语言的一个部分），并且定义了一小套格式规则用以创建结构数据的可移植表示。

注意，Ajax 应用程序中还有一些其他常用的格式可以替代 JSON，比如说 XML 和无格式的纯文本。此处我们选择讨论 JSON，其原因在于它具有一些隐藏的安全问题，稍后我们将在文章中对其进行研究。