基于AJAX的Web 2.0應(yīng)用程序安全性分析

摘 要：AJAX是一種用于創(chuàng)建更好更快以及交互性更強(qiáng)的Web應(yīng)用程序技術(shù)，一些大型視頻類、社交類網(wǎng)站均應(yīng)用AJAX技術(shù)去開(kāi)發(fā)網(wǎng)站。自從社交網(wǎng)站受到蠕蟲(chóng)病毒攻擊開(kāi)始，人們?cè)桨l(fā)關(guān)注基于AJAX開(kāi)發(fā)的應(yīng)用程序存在哪些安全性問(wèn)題。本文主要介紹了AJAX技術(shù)的原理、分析了兩類常見(jiàn)的安全性問(wèn)題，對(duì)于這兩類問(wèn)題分別闡述了相應(yīng)的防御方法。

關(guān)鍵詞：AJAX；安全性問(wèn)題；防御

中圖分類號(hào)：TP393.08

Web 2.0這個(gè)術(shù)語(yǔ)是不斷變化的代名詞。越來(lái)越多的人使用網(wǎng)絡(luò)從而促使網(wǎng)絡(luò)技術(shù)飛速發(fā)展。如果說(shuō)網(wǎng)絡(luò)可以被視為一個(gè)平臺(tái)的話，那么不斷被開(kāi)發(fā)的網(wǎng)頁(yè)技術(shù)則可被看做是用來(lái)搜索網(wǎng)頁(yè)的工具。這種變化對(duì)人文科學(xué)和社會(huì)行為都有著顯著地影響。隨著時(shí)間的流逝，為了滿足社會(huì)和商業(yè)的需要，基于Web 2.0的應(yīng)用程序取代了Web 1.0程序被廣泛的應(yīng)用起來(lái)。Web 2.0應(yīng)用程序在網(wǎng)站的架構(gòu)、信息來(lái)源和展現(xiàn)信息的方式都與以往不同。隨著Web 2.0這個(gè)概念不斷推動(dòng)網(wǎng)絡(luò)發(fā)展的同時(shí)，AJAX這個(gè)新技術(shù)孕育而生。AJAX框架技術(shù)最早被谷歌和微軟應(yīng)用，由于基于AJAX技術(shù)的應(yīng)用程序不僅提升了用戶體驗(yàn)，而且在很大程度上減少了網(wǎng)絡(luò)流量，并減輕了服務(wù)器負(fù)載，很多商業(yè)網(wǎng)站、郵件服務(wù)類、博客首頁(yè)都開(kāi)始用AJAX技術(shù)去搭建網(wǎng)站。然而，隨著基于AJAX技術(shù)應(yīng)用程序的興起，其安全性問(wèn)題也得到了廣泛的關(guān)注。

1 AJAX的含義

AJAX即Asynchronous JavaScript+XML，并不是一種新的技術(shù)而是基于現(xiàn)有的技術(shù)和環(huán)境進(jìn)行重新組合。當(dāng)Jesse James Garrett最早定義AJAX時(shí)就已經(jīng)指出，AJAX包含了XHTML，XML，DOM，JAVASCRIPT and XMLHttpRequest，它利用現(xiàn)有的技術(shù)使得網(wǎng)頁(yè)內(nèi)容可以動(dòng)態(tài)更新。在體驗(yàn)基于AJAX應(yīng)用程序時(shí)，數(shù)據(jù)從網(wǎng)頁(yè)服務(wù)器傳輸?shù)綖g覽器然后在瀏覽器進(jìn)行處理，然后通過(guò)HTML，XSLT或者JavaScript展現(xiàn)出來(lái)。與傳統(tǒng)的HTTP網(wǎng)頁(yè)相比，這種基于AJAX技術(shù)的數(shù)據(jù)傳輸和處理方式極大的提高了網(wǎng)頁(yè)的動(dòng)態(tài)交互、豐富了用戶的體驗(yàn)，用戶不再需要為了更新頁(yè)面數(shù)據(jù)而去更新整個(gè)網(wǎng)頁(yè)。

2 安全性問(wèn)題

當(dāng)AJAX技術(shù)框架在操作和性能上給應(yīng)用程序帶來(lái)巨大優(yōu)勢(shì)的同時(shí)，也帶來(lái)了一些安全方面的問(wèn)題，而這些安全問(wèn)題常常容易被我們所忽視。同時(shí)，一些安全性問(wèn)題對(duì)于傳統(tǒng)的應(yīng)用程序而言并不嚴(yán)重，但是對(duì)于基于AJAX技術(shù)的應(yīng)用程序而言卻會(huì)因?yàn)锳JAX自身的特點(diǎn)帶來(lái)嚴(yán)重的后果。

對(duì)于網(wǎng)頁(yè)應(yīng)用程序而言，安全問(wèn)題主要來(lái)自于惡意代碼的威脅。因此，以下主要介紹腳本攻擊和跨域發(fā)送請(qǐng)求這兩方面的安全問(wèn)題。除此之外，潛在的SQL注入問(wèn)題在AJAX應(yīng)用程序中也是一種常見(jiàn)的安全性問(wèn)題，但是這類問(wèn)題已經(jīng)被有效的解決了，本文將不做闡述。

2.1 腳本安全問(wèn)題。XSS又叫Cross Site Script，跨站腳本攻擊。在AJAX應(yīng)用程序中，是最常見(jiàn)的一種腳本攻擊。跨站腳本攻擊并不是一種新的攻擊方式，但是在過(guò)去的幾年當(dāng)中經(jīng)常被人們所忽視。在一個(gè)傳統(tǒng)的網(wǎng)頁(yè)應(yīng)用程序中，跨站腳本攻擊主要通過(guò)偷取cookie和會(huì)話劫持兩種方式實(shí)現(xiàn)，當(dāng)用戶刷新網(wǎng)頁(yè)時(shí)跨站腳本攻擊就會(huì)被觸發(fā)。對(duì)于傳統(tǒng)應(yīng)用程序而言這并不是什么很嚴(yán)重的問(wèn)題。但是在AJAX應(yīng)用程序中，由于網(wǎng)頁(yè)是通過(guò)JavaScript控制的，這種基于AJAX的應(yīng)用程序無(wú)需通過(guò)用戶可以直接向網(wǎng)頁(yè)服務(wù)器發(fā)送HTTP請(qǐng)求。因此跨站腳本攻擊對(duì)于AJAX程序而言威脅要更大。

XSS通常是指黑客將惡意的HTML代碼插入到網(wǎng)頁(yè)中，當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)被嵌入的惡意代碼會(huì)被激活。跨站腳本攻擊流程如下圖所示：

由于網(wǎng)頁(yè)服務(wù)器對(duì)于用戶輸入的字段沒(méi)有進(jìn)行嚴(yán)格的檢查和過(guò)濾，因此AJAX應(yīng)用程序很容易遭受跨站腳本的攻擊。對(duì)于基于Ajax應(yīng)用程序的客戶端腳本，JavaScript腳本本身可以創(chuàng)建HTTP請(qǐng)求并且請(qǐng)求的格式和用戶在瀏覽器操作的是相同的。因此，網(wǎng)絡(luò)服務(wù)器無(wú)法區(qū)分請(qǐng)求是來(lái)自于用戶的操作還是來(lái)自于惡意的JavaScript創(chuàng)建的XMLHTTPRequest對(duì)象。

2.2 跨域發(fā)送請(qǐng)求安全問(wèn)題。通常有四種方式來(lái)實(shí)現(xiàn)跨域操作：（1）通過(guò)Flash來(lái)實(shí)現(xiàn)跨域；（2）使用Javascript動(dòng)態(tài)生成的