1．介绍

Ajax由于其良好的交互性，在去年很引人注目。Google Suggest 和 Google Maps [ref 1]就是一些Ajax早期的著名应用。现在，企业正在考虑他们如何也能利用Ajax，web开发者在学习它，安全专家在想如何使它变得安全，黑客们在思考如何入侵。所有能提高服务器吞吐量，能产生更多的动态页面传输，而且能为最终用户提供更加丰富的web应用的技术都必然在这个领域出现。

Ajax的下一步计划称为”Web 2.0”。这篇文章的目的是介绍一些关于现代Ajax web技术的安全建议。尽管Ajax的应用难于测试，安全专家已经拥有大多数所需要的有关方法和工具。作者将讨论如今的趋势是否需要告别完全的网络更新，使用Ajax也意味着我们将面临一些新的安全问题。我们将从Ajax技术简要介绍开始，接着讨论使用Ajax技术应用带来的安全冲击。

2．初识Ajax

正常的web应用程序在同步模式下工作，一个web请求之后，一个响应在表示层引起一些动作。例如，点击链接或者提交按钮向web服务器产生一个带有相应参数的请求。传统的” click and wait”方式限制了应用程序的交互性。Ajax(Asychronous Javascript and XML)技术的使用缓解了这个问题。文中，我们将Ajax定义为向web服务器产生异步调用而不引起网页完全更新的方法。这种交互性的通过三种不同的组件实现：客户端脚本语言，XmlHttpRequest (XHR)对象和XML。

让我简短地分别介绍一下这些组件。在请求响应中，客户端脚本语言被用来初始化服务器调用和程序的存取，以及更新客户浏览器的DOM。客户端普遍使用JavaScript，由于它被知名浏览器普遍的采用。第二个组件是XHR对象，它是最重要的部分。JavaScript这类语言使用XHR对象在场景后面向web服务器发送请求，使用HTTP作为传输中介。接着是第三个组件，它的使用是必要的：XML是被交换信息的数据格式。

很多站点使用JSON(JavaScript Object Notation)代替XML,因为其更加容易解析不需要那么多管理的费用。使用JavaScript解析JSON，只需要简单的把它传给eval()函数。另一方面，有人可能使用XPath解析返回的XML。同样的，外面还有很多”Ajax 站点”既不使用XML，也不使用JSON，而是仅仅发送无格式的动态插入到网页的旧HTML碎片。

因此，Ajax不是一个新的技术商标，而是现存技术的联合应用，推动了web应用程序高度交互性的发展。实际上，所有这些组件已经出现好些年了，随Internet Explorer 5.0的发布而显著起来。开发者创建了Ajax许多的应用，诸如”提示”文本框(象Google Suggest)和自动更新数据列表。所有的XHR请求仍然是由典型的服务器端框架执行，例如标准的选择象J2EE，.NET和PHP。下面的Figure 1. 是Ajax应用程序的异步特性图例：

图 1．Ajax异步顺序